前言
这个靶场的第一次打靶存在有点太巧了,正好网站后台和ssh的用户名和密码一样,但也不乏是一种尝试与策略。第二次打靶针对http服务和80端口进行了更加流程化的策略。
文章对渗透过程写的很简略,只是对本人初学渗透时的思路和过程进行记录
环境搭建
环境搭建搞了挺久,这一篇文章最完美解决,记录一下
VirtualBox(Host only)和VMware共用同一虚拟网卡_virtualbox和vmware互通_H3rmesk1t的博客-CSDN博客
二次复现遇到的问题
Virtualbox 0x80004005 错误如何修复?-CSDN博客
渗透过程
主机发现
nmap扫描无法确定是哪个,试试netdiscover
据此猜测目标为192.168.56.101
nmap扫描主机的开发端口
对端口信息再做进一步探测
- 21—ftp—ProFTPD
- 22—ssh—OpenSSH 8.2p1 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
- 80—http—Apache httpd 2.4.41 ((Ubuntu))
- 33060—mysqlx?
ftp #21
anonymous+空密码登录成功,但是无法执行命令
http #80
浏览器无法访问,需要设置/etc/hosts
文件来重定向
将IP和域名写入/etc/hosts
访问成功后dirsearch扫目录,发现是word press
没有其他业务页面,只能从wp-login.php
和wpscan扫描到的两个用户名入手,爆破密码
登录后拿到网站后台管理员权限,可以以此来想办法获取服务器的操作权限
ssh #22
利用常人的习惯——账号密码多处使用(我称为密码复用,当时自己脑子里蹦出来这四个字,有更好的描述欢迎留言),尝试joe/12345来ssh连接服务器
提权
sudo
直接被ban
bash -i
切换shell
msf开启一个监听,在funny的定时任务.backup.sh
中写入反弹shell
等待定时任务启动,成功拿到root权限,寻找到flag
总结
一个简单的渗透靶场,其中有一个疑点或者是取巧点:joe/12345的用户名和密码和ssh的一样。
提权时候.backup.sh是定时任务而且可以写入,这里是由经验得出.backup.sh应该是定时的备份任务
二次复现
这次使用msfvenom攻击http 80端口
通过admin/iubire
成功登录word press后台
利用msfvenom生成php反弹shell代码,并在word press-appearance-theme editor中找404.php
文件写入shell.php的内容
wordpress后台getshell:https://www.cnblogs.com/jason-huawen/p/17015972.html
所有文件都无法写入,换一种方式,把shell.php打包成zip,上传至plugin(插件)
没有成功,但是在plugin editor中成功写入了shell.php内容
建立msf监听,尝试打开这个php页面,很难访问到这个文件的路径,我们尝试其他方法
在msf中exploit模块寻找攻击方式
因为没有办法知道一个目标URL,所以这个方法也搁置了
通过这篇文章中插件编辑的利用方法,再次利用刚刚在插件中wrapper.php文件写入的shell.php内容
WordPress后台拿Shell新姿态 - 腾讯云开发者社区-腾讯云
可以看到我们的路径正确,这次拿到了session但是随即close
通过这篇文章得知我们未设置payloadCommand shell session 2 closed_日上三竿,骄阳似火的博客-CSDN博客
成功建立session,拿到www-data用户的shell
继续利用/home/funny/.backup.sh
可写定时任务提权
edit命令修改文件内容,等待后拿到root权限