Ganana靶机
信息收集
- nmap扫描靶机有22 80 443 6777端口,其中22端口是关闭的
- 使用全扫描发现6777端口就是ftp服务
- 进行目录扫描得到很多内容,包括
wordpress
和PhpMyAdmin
,wordpress
的后台地址隐藏在了secret
目录下
web渗透
-
dirsearch
扫描得到的其他目录没有可利用和隐藏的信息了 -
使用
dirb
再次扫描得到了tasks
目录
- 访问后发现管理员给
jarret
创建类临时的账号密码存放在pcapng
文件下,该文件是一个流量包
- 此处可以使用
gobuster
工具扫描pcapng
后缀文件,但尝试用户名就为文件名成功下载了该流量包
wirshark检索流量包
- 使用
wirshark
打开流量包,只查看http协议,一般http
协议里面传输的内容才是需要的,因为提示了流量包中隐藏了账号密码,所以全局搜索pass
字符串,成功检索到一个可疑的数据信息,有着用户名和密码
- 再根据流量包的
pwd
为根据,搜索pwd
字符串,得到了好几个都带有密码的数据包,其中用户都是一样的
- 根据流量包产生的
url
地址猜测,这是登录wordpress
后台的账密,经过测试得到了成功登录wordpress
后台的密码的数据包
ftp渗透
- 尝试使用账密登录后台发现,该用户不是管理员账户,所以没办法进行
getshell
操作
- 登录PhpMyAdmin失败,但是成功登录到了ftp服务
- 执行命令提示
ebtering extended passive mode
,这个问题之前遇到过,只需要输入passive off
即可解决命令回显问题
- 将可疑的.backups下载下来,进行base64解密发现,是一个用户的哈希密码,很像是
shadow
文件中的格式
- 先使用john将其密码破解出来,留到获得靶机
shell
后切换用户
- 发现该用户可以实现目录穿越,可以切换到任意目录,这里想到了可以查看网站配置文件,查看里面的数据库登录账密,
PhpMyAdmin
肯定有保存wordpress
后台的账户和密码。22端口关闭,只有使用管理员登陆到wordpress
后台进行getshell
了
- 发现
/var
目录下并没有www
目录,了解后直到,网站目录还有另外一种默认情况,会放在opt
目录下
- 经过对目录的查看,发现
wordpress
目录存放在apps目录下,前去htdocs
目录下将配置文件下载下来
PhpMyAdmin利用
- 在配置文件中查看到数据库的登录账户和密码
- 使用账密成功登陆到了
PhpMyAdmin
后台,查看数据库中表,发现了wp_users
,查看表数据发现了另外一个用户信息
- 发现密码是经过hash加密的,可以使用
john
破解,但也可以直接修改密码,将已知的密码hash
加密后替换改密码即可,当然jarretlee
用户的密码是已经知道的
wordpress后台getshell
- 使用新得到的账密再次登录
wp
的后台,发现是管理员权限
- 又是熟悉的
wordpress
后台getshell
,来到404.php
界面,加入反弹shell命令,进行更新上传
- 访问一个不存在的目录,成功得到了
shell
权限提升
- 查看
passwd
文件后确定了存在jeevan
用户,直接切换该用户
- 发现该用户所属
docker
组,之前靶机有遇到docker
组提权的操作,看来这次靶机的提权操作还是相对简单了不少
- 搜索相应的提权语句,进行执行,成功得到
root
的shell
- 来到root目录下查看flag
靶机总结
-
该靶机开始前和开始后真属实是一波三折,头都大了
-
vmware
打开文件失败,特地下了virtualbox
,但有调网络,修改网卡忙碌了一阵,确定网桥可以使得两个不同软件的虚拟机相互ping
通 -
靶机的渗透更是一波三折,确实够难够复杂,目录扫描得到了很多的目录,其实发现每一个都没多少用处,只有
secret
比较关键 -
端口扫描得到的
6777ftp
服务是可以进行匿名登录的,但是登录后发现只有一条欢迎语,可以说是噩梦开始的地方了 -
破局的关键是使用
dirb
扫描得到tasks目录,里面提示到了用户名(文件名)和藏着账户密码的pcapng
的流量包 -
因为有打
ctf
杂项的经验,对于wirshark
查找数据包的隐藏信息还是比较在行的,第一步直接全局搜索关键词,得到了包含帐户密码的字段内容,再对齐进行精确搜索得到了几个密码数据包 -
不是管理员权限的
wordpress
后台用户是不能进行getshell
的 -
网站文件不仅是只会存放在
/var/www
目录下,也有默认存放在/var/opt
目录下的 -
数据库中极大可能性保存了网站后台的登录账号和密码,没有思绪,可以尝试获得网站的配置文件,使用里面的数据库连接账号密码登陆到数据库中查找信息
-
wordpress
后台getshell
和用户所有docker
组提权 -
本次靶机的三个关键点:找到
.pcapng
流量包文件;使用ftp
服务找到网站的配置文件;PhpMyAdmin
和wordpress
的联系