一、概要
靶机地址:192.168.56.104
攻击机地址:192.168.56.101
靶机下载地址:https://download.vulnhub.com/beelzebub/Beelzebub.zip
二、主机发现
arp-scan扫描一下局域网靶机
![](https://img-blog.csdnimg.cn/img_convert/145523f84cfe2596dc4af769a24a1872.png)
三、信息收集
nmap -sV -A -T4 -p- 192.168.56.104
22端口ssh服务和80端口web服务是打开的
![](https://img-blog.csdnimg.cn/img_convert/09d2d56b32d0366173ee8d5be2bf7a73.png)
四、渗透测试
直接访问一下web服务是个apache的首页
![](https://img-blog.csdnimg.cn/img_convert/5150c96bc75f110070d2c42af7afecd5.png)
1、目录扫描
根据dirsearch目录扫描结果来看的话,可以发现这个网站是php的网站
初步判断,搭建了phpmyadmin,还泄露了phpinfo页面
![](https://img-blog.csdnimg.cn/img_convert/b28586393b87d6be4fcf2aad393ae9b9.png)
2、疑点
但是有一个很奇怪的地方,index.php明明是一个200的响应,但是打开却是404,并且apache的版本号也对不上
![](https://img-blog.csdnimg.cn/img_convert/d9b8842c3518809ac38f70611a914460.png)
查看页面源码发现这就是一个静态页面
还有一串注释,还提示了md5,那么根据经验的话,这里应该就是突破点了
My heart was encrypted, "beelzebub" somehow hacked and decoded it.-md5
![](https://img-blog.csdnimg.cn/img_convert/9b246dc8ba8a2bcfd2aaf2386bd0afa4.png)
3、md5加密&次级目录扫描
md5加密一下
原始数据:beelzebub
加密数据:d18e1e22becbd915b45e0e655429d487
这种数据的话,利用方式之前遇到过一次,把这串字符串当作次级目录进行扫描
事实也确实证明了我的猜想
![](https://img-blog.csdnimg.cn/img_convert/dc614cf8def7c74b7e91ef50377cc031.png)
根据目录名可以判断出来这是一个wordpress的站点
逐个查看一下这几个页面,看看有没有什么有用的信息
一个上传页面
![](https://img-blog.csdnimg.cn/img_convert/a6c1c745079267b19da714de8071a6d2.png)
一个文件包含页面
![](https://img-blog.csdnimg.cn/img_convert/3d6464c8a3690b47a5163508819fb564.png)
一个登录页面
![](https://img-blog.csdnimg.cn/img_convert/243a623e2db8a388539157717f89c111.png)
这三个页面是最敏感的三个页面了
反复查看这三个页面
4、密码
最后发现在这个上传页面输入信息的时候,页面数据包中会返回一个password
![](https://img-blog.csdnimg.cn/img_convert/4f23fd25f723524e495d403ea6e702e1.png)
有密码的话就差用户名了
5、wpscan
这样的话首先想到的就是wpscan这个工具
wpscan --url=http://192.168.56.104/d18e1e22becbd915b45e0e655429d487/ --ignore-main-redirect --force -e --plugins-detection aggressive
--ignore-main-redirect //忽略主动重定向
--force //不检查网站运行的是否是wordpress
-e //指定多个扫描选项,不指定默认vt,tt,u,vp
vt 只枚举存在漏洞的主题
tt 列举缩略图相关的文件
u 枚举用户名,默认从1-10
vp 只枚举有漏洞的插件
--plugins-detection aggressive //插件检测,默认passive,这里aggressive是积极
扫描结束发现了两个用户名
![](https://img-blog.csdnimg.cn/img_convert/32e02ae847beab0cf7959b43c56879c9.png)
6、ssh登录
这样的话尝试用上面发现的用户名和密码登录一下ssh服务
用户名:valak、krampus
密码:M4k3Ad3a1
krampus用户名登录成功了
![](https://img-blog.csdnimg.cn/img_convert/062950a35cf7b0513662f0dee2c790ff.png)
五、提权
1、sudo提权尝试(失败)
sudo提权不行
![](https://img-blog.csdnimg.cn/img_convert/56e0d7760d459914112e360031f8de9b.png)
2、查看历史执行命令
尝试查看一下历史记录,看有没有什么可以参考的地方,因为靶机定位是已经被黑过的
可以看到他这里下载了一个脚本
![](https://img-blog.csdnimg.cn/img_convert/c42e895ccccdd74767d13d3d41bdc5da.png)
我们也从本机上下载一个然后传到靶机上试试
3、47009.c脚本
使用searchsploit将47009.c下载下来
![](https://img-blog.csdnimg.cn/img_convert/116b6e31ca7ab9f63c5d4abe6404067e.png)
使用python在当前目录下开一个http服务,默认是8000端口
python3 -m http.server
![](https://img-blog.csdnimg.cn/img_convert/31a29dc9a36a48d9d3cfc69afed7a66b.png)
靶机ssh那里切换到/tmp目录将脚本从攻击机上下载下来
![](https://img-blog.csdnimg.cn/img_convert/c8eb03b2343f552dd74ca4fc6f1f4345.png)
将脚本编译输出为shell这个可执行文件
![](https://img-blog.csdnimg.cn/img_convert/b6f0c3232462f1072c988ce8d325677c.png)
4、提权成功
执行编译好的脚本
权限变为root
在/root目录下找到了flag
![](https://img-blog.csdnimg.cn/img_convert/dbb8ff95a3664eb3640eb4957d33c0f6.png)
六、总结
1、目录扫描很重要,尤其是响应码,很有可能有静态页面存储信息的情况,仔细核查200响应码页面
2、一串无从下手的字符串可以在目录上尝试一下
3、关键页面,尤其是有信息交互的页面,如果没有明显的可利用信息,可以注意一下页面的cookie,有可能就藏着敏感信息,还需要注意,有的时候也需要交互一下再去查看
4、phpmyadmin那个估计就是兔子洞了,像OSCP中就需要注意这种兔子洞,会浪费很长时间
5、wordpress的神器-wpscan,利用好的话简直无敌
6、靶机背景介绍中如果提及了是被攻克的靶机的话,可以尝试查看历史操作.bash_history,从中找到“前辈”留下的脚印