Kali网络渗透实验四

前言

实验目的

实验目的：通过对目标靶机的渗透过程，了解CTF竞赛模式，理解CTF涵盖的知识范围，如MISC、PPC、WEB等，通过实践，加强团队协作能力，掌握初步CTF实战能力及信息收集能力。熟悉网络扫描、探测HTTP web服务、目录枚举、提权、图像信息提取、密码破解等相关工具的使用。

系统环境与实验工具

系统环境：Kali Linux 2、WebDeveloper（NAT模式）

靶机来源：https://www.vulnhub.com/

实验工具：不限

实验步骤

目的：获取靶机Web Developer 文件/root/flag.txt中flag

基本思路: 本网段IP地址存活扫描(netdiscover)；网络扫描(Nmap)；浏览HTTP 服务；网站目录枚举(Dirb)；发现数据包文件 “cap”；分析 “cap” 文件，找到网站管理后台账号密码；插件利用（有漏洞）；利用漏洞获得服务器账号密码；SSH 远程登录服务器；tcpdump另类应用。

具体实施:

1.发现目标

使用 netdiscover ,找到WebDeveloper的IP地址。

命令： netdiscover -r 192.168.189.131/24
（扫描同一个网段的其他主机）

由于Kali的网络适配器为NAT模式，所以在使用netdiscover的时候并不会扫描到物理机。

2.利用NMAP扫描目标主机

利用NMAP扫描目标主机,发现目标主机端口开放、服务情况，截图并说明目标提供的服务有哪些？

命令：nmap -sT 192.168.189.134

或者使用：nmap -sV 192.168.189.134

总的来说还是下面这个帅一些叭，更推荐大家使用~

靶机开启的端口服务
22端口 ： 开启远程登录服务
80端口： 开启http服务

3.查看目标网站找到有用信息

若目标主机提供了HTTP服务，尝试利用浏览器访问目标网站，是否有可用信息？

那咱们就直接访问靶机IP，看看有啥东西叭：

从其中可以猜测（真的是猜的，确实没有啥东西是能看出来的）该网站是使用 WordPress 模板搭建的

百度验证一波自己的猜测，还真是嗷

之后就可以查找利用该模板搭建的网站具有的漏洞啦~

4.利用whatweb探测目标网站使用的CMS模板

利用whatweb探测目标网站使用的CMS模板，分析使用的CMS是什么？

命令： whatweb 192.168.189.134

右边红色箭头指的地方就是网站搭建使用的CMS模板啦，WordPress[4.9.8]:

可以看到该网站的模板是WordPress搭建的，嘿嘿，验证了一波自己的猜测。

5.网络搜索wpscan

网络搜索wpscan，简要说明其功能。

参考：https://blog.csdn.net/qq_41453285/article/details/100898310

WPScan: WPScan是一个扫描 WordPress 漏洞的黑盒子扫描器，它可以为所有 Web 开发人员扫描 WordPress 漏洞并在他们开发前找到并解决问题。我们还使用了 Nikto ，它是一款非常棒的Web 服务器评估工具，我们认为这个工具应该成为所有针对 WordPress网站进行的渗透测试的一部分

功能：WPScan是Kali Linux默认自带的一款漏洞扫描工具，它采用Ruby编写，能够扫描WordPress网站中的多种安全漏洞，其中包括WordPress本身的漏洞、插件漏洞和主题漏洞。最新版本WPScan的数据库中包含超过18000种插件漏洞和2600种主题漏洞，并且支持最新版本的WordPress。值得注意的是，它不仅能够扫描类似robots.txt这样的敏感文件，而且还能够检测当前已启用的插件和其他功能

6.使用 Dirb 爆破网站目录

注：Dirb 是一个专门用于爆破目录的工具，在 Kali 中默认已经安装，类似工具还有国外的patator、dirsearch、DirBuster、 国内的御剑

要求：使用 Dirb 爆破网站目录，找到一个似乎和网络流量有关的目录（路径）。

命令： dirb http://192.168.189.134

仔细查看一波，估计就是这个与网络流量有关的了吧。

7.浏览器访问该目录（路径）

浏览器访问该目录（路径），并找到一个cap文件。

由于做这个步骤的目的是找到一个cap文件，而下一步的目的是从caps文件里面获取到登录网站的用户名和密码，所以这个就在 ipdata 里面直接找就好啦，刚好就在上一张图片里，有点巧呀~

8.利用Wireshark分析该数据包

要求：利用Wireshark分析该数据包，分析TCP数据流，找到有用的信息。

先将上一步找到的cap文件down到本地，然后用wireshark打开。（就一直点就好啦）

然后使用筛选器，输入： http.request.method == POST

可以得到登录网站后台的账号与密码啦~

login： webdeveloper
password： Te5eQg&4sBS!Yr$)wf%(DcAd

9.利用上一步得到的信息进入网站后台

利用上一步得到的 login 和 password 直接登录网站后台。

成功登录后台：

10.利用该CMS存在的（插件Plugin）漏洞。

指导书上面是给了三种方案的，但是由于本人技术比较菜再就是时间比较紧，先做了方案三，方案一由于插件版本不同好像是有一丢丢问题（不确定），所以到后面再更新别的方案咯。

方案三：
下载插件： File manager

激活插件（点击 active 按钮）之后在 WP File Managner 里面可以直接找到 wp-config.php:

打开 wp-config.php之后即可查看访问数据库和远程连接服务器的账号和密码：

11.SSH登录服务器

尝试利用上一步获得的访问数据库的用户名和密码连接远程服务器：

命令： ssh webdeveloper@192.168.189.134

1.尝试查看/root/flag.txt

命令：cat /root/flag.txt
命令：whoami
命令：s -l /root/flag.txt

从上图可以发现我们是没有权限访问 flag.txt 的。

2.使用tcpdump执行任意命令（当tcpdump捕获到数据包后会执行指定的命令）

命令：sudo -l， 然后输入password

发现可以root权限执行tcpdump命令

命令：touch /tmp/exploit
（用于创建攻击文件）
命令：echo “cat /root/flag.txt” > /tmp/exploit
（写入shellcode）
命令：chmod +x /tmp/exploit
（赋予可执行权限）
命令：sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/exploit -Z root
（利用tcpdump执行任意命令）

得到flag:

总结

每一次做实验都会发现自己真的好菜哇，还是得虚心一些好好学呀。这次实验本来应该叫 CTF实践的，但是呀但是，我觉得与之前写的CTF关系不太大，加上去怪怪的，所以作者就任性了一波，改了标题，不过内容还是没有改变的~

说起来这次实验真的跟以往不太一样，甚至跟我想象的不太一样，我之前以为的，这个类型的渗透，应该是利用这个网站的某个漏洞以完成相应的攻击，但是这次是从网站里面找到可以登录后台的用户名与密码，然后通过访问后台安装有漏洞的插件，进而连接数据库，然后通过运行攻击文件来完成渗透，可以说是刷新了一波本人的认知（就是太菜了），看来以后也得多一些角度考虑问题，不能局限于固定的思维模式。

由于又又又是一次实验报告，所以没有办法给小榆分享一些快乐的东西，但是之后还是会努力更新的，让小榆看到更多有趣的东西~

感谢观看，有问题可以评论区或者私信本人交流喔。