目录
一、信息收集
常规的主机发现以及端口扫描,扫描自己所在的网段。
nmap 192.168.216.0/24
nmap -A -v -T4 -p 1-65535 192.168.216.148
二、漏洞发现
先来看看21端口,支持匿名登录,因此我们上去看看有什么资料可以下载下来进行分析
ftp 192.168.216.148
帐号:anonymous
密码为空
get secret.jpg
只是一张普通的图片。
22端口利用现有的信息只能进行爆破,因此先放一放,80端口开启,所以我们首先访问web应用,看看能否找出漏洞。
这个web服务当前页只是一个图片展示,并没有特殊的地方,下面我们对该网站进行目录扫描
使用了dirsearch模块进行web的目录扫描,个人感觉这个工具挺好用的,而且翻回的信息很容易观察和分析。
逐个访问!发现是一个WordPress的cms,使用wpscan进行扫描也得到了验证
注意:第一次访问可能会进行跳转,需要将域名添加到hosts文件中才能正常访问
访问wp-login.php页面是一个后台管理员的登录页面,继续使用wpscan对网站进行用户名扫描
wpscan -u http://192.168.216.148/blog/wp-login.php -e u
发现有一个用户名albert爆出,接着利用此用户进行密码爆破
wpscan -u http://192.168.216.148/blog/wp-login.php -U albert -P /usr/share/wordlists/rockyou.txt
使用爆破出来的账号密码进行登录。
三、漏洞利用
方法一:
在此页面中,将404页面进行编辑。
附上代码链接:
https://github.com/pentestmonkey/php-reverse-shell/blob/master/php-reverse-shell.php
将上面的代码与404页面的代码替换,然后在kali上用nc监听自己设置的端口,当访问一个不存在的页面时就会反弹shell回来,反弹shell并不是交互式的,因此需要利用python创建一个交互式的shell。
python3 -c ‘import pty; pty.spawn("/bin/bash")’
访问http://driftingblues.box/blog/index.php/123,必须要在此目录下访问不存在的文件才能反弹成功。(原因不明)
方法二:
利用msf进行攻击
使用此模块exploit/unix/webapp/wp_admin_shell_upload,options设置成如下图
run运行,回来的用户也只是www-data,只有低权限,甚至cat的权限都没有,在home目录下发现了用户freddie,进入此用户发现了一个flag,但是没有cat权限,无法进行查看。
在此用户目录下有一个.ssh隐藏目录,进去后发现有密钥文件。
发现可以使用cat查看密钥的内容,将文件中的内容复制到本地保存,接着给文件上权限,文件需要400的权限才能正常执行
chmod 400 id_rsa
直接上ssh进行登录
成功登录获取到了一个flag
四、权限提升
在该用户下进行信息收集,由于我前几次做的靶场中都有sudo提权,所以我直接使用命令sudo -l查看,发现可以利用nmap进行提权。
直接在网上查找nmap提权方法,按照网上写出来的一步一步进行操作,直接到root权限。
获取到最后一个flag!!!完结
总结
wpscan的利用,可以进行爆破,cms识别
cms后台编辑器404页面漏洞利用
密钥权限需要400权限
sudo提权--nmap提权