拿到魂器信息
本次渗透测试范围为本地,具体如下:
表1-1:渗透测试对象
序号 | 系统名称 | 网站地址 | 内外网 |
1 | Aragon1.0.2 | http://192.168.22.141 | 内网 |
2023年11月7日 晚上20:00晚上21:30
在本地开展内网的vmware虚拟机中渗透测试。
TYR2
- 信息收集
- 主机存活扫描和端口扫描
- 主机发现
141主机
- 端口扫描
22、80端口
- 目录扫描
/blog
/blog/wp-login.php
- 目录深入扫描
/blog/xmlrpc.php--告诉我们xmlrpc服务器只接受post请求
/blog/wp-admin/install.php---应该是一个web服务器的安装界面
/readme.html--安装的注意事项页面吧
- 深入目录扫描2-post请求
也没什么可以利用的
- 信息分析
- 访问80网页
发现所有网页都不能访问成功
初步推测是dns需要配置
- 配置dns
- 再次访问发现网站使用wordpress搭建
wordpress有一个专门的扫描工具wpscan-kali自带
需要一个api-需要去wpscan.com去注册登录获取
可以使用wpscan --api-token=<api-token> --url=<url> -e p --plugins-detection aggressive 进行扫描
- 漏洞验证与利用
- 扫描
文件管理的一个漏洞
- 利用
使用kali-msf进行查找并利用
利用成功-反弹shell到kali-msf
在shell利用的时候有必要升级一下
python -c "import pty;pty.spawn('/bin/bash')"
- 渗透测试
- 在/home/hagrid98目录下拿到第一个key.txt文件-第一个魂器
- wordpress搭建的网站数据库账号密码会记录在/etc/wordpress目录里的config-default.php 文件里,查看后发现了数据库的root密码
- 通过数据库登录查看数据库(wordpress)-表(wp_users)发现用户和密码
- 解密后密码为password123
- 网页使用账户密码登录成功--ssh登录成功
- 查看脚本文件内容是将上传的文件复制到tmp目录里,应该是定时执行,所以我们到目录/tmp下写一个反弹shell的php脚本,然后修改.backup.sh脚本内容
- 修改.back.sh文件
在中间添加内容
/usr/bin/php /tmp/shell.php
输入 cat .backup.sh 同时kali开启监听8888
成功反弹root shell
在root目录下拿到第二个key.txt文件
Aragon1.0.2靶场需要使用wspcan扫描,又了解到了一个扫描工具