介绍
系列: hackNos(此系列共7台)
发布日期:2020 年 1 月 18 日
难度:初级-中级
Flag : 2个,一个普通用户的,一个根用户的
学习:
- wordpress 安全测试
- 本地包含漏洞利用
- john破解
- 特权提升
靶机地址:https://www.vulnhub.com/entry/hacknos-reconforce,416/
信息收集
主机发现
netdiscover主机发现
对于VulnHub靶机来说,出现“PCS Systemtechnik GmbH”就是靶机。
sudo netdiscover -i eth0 -r 192.168.124.0/24
主机信息探测
信息探测:nmap -A -p- 192.168.124.9
,只开放了22和80端口
网站探测
访问80端口,没什么有价值的信息
目录扫描
虽然gobuster
没有扫出来什么有价值的结果,但是dirb
扫出来了,从扫描结果中得知这是WordPress
站点。这就好说了,WordPress
有专门的漏扫工具。
gobuster dir -u http://192.168.124.9 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -t 100
访问一下网站,如下图
wpscan漏扫网站
wpscan --url http://192.168.124.9/tsweb/ -e vp --api-token se5dzb2kuZqWOYN3gK91L5asNOu1jNA0mdzDgSgndc8
其中,-e vp
表示扫描插件漏洞,然后发现存在本地文件包含漏洞。
测试POC
根据参考链接,来到相关网站:https://www.exploit-db.com/exploits/46537
确认存在漏洞
通过查看页面源代码的方式(主要是方便阅读),得知靶机存在3个用户:root、rohit、flag。注意到flag用户的密码占位符的位置中有$
符号,说明是经过md5加密的。
破解用户密码
使用join
破解flag
用户的密码,得到密码:topsecret
注:join一旦破解出了密码,再次破解的话就不再显示破解结果,需要通过--show
查看破解结果
爆破
john --wordlist=/usr/share/wordlists/rockyou.txt --format=md5crypt-long pass.txt
显示结果,下面两个命令效果一样
john --show --format=md5crypt-long pass.txt
john --show pass.txt
SSH登录
登录之后,呵呵哒,自己权限低就算了,还不让去邻居家串门。只能找找看有没有什么敏感文件了。
发现一个md5加密的文件,再来一次密码破解
破解用户密码
经过了漫长的等待后,破解出来:!%hack41
Flag1
在前文测试POC的时候已经得知:靶机存在3个用户:root、rohit、flag,排除法得知这个密码是rohit用户的。
提权-Flag2
准备suod提权,竟然发现rohit用户可以使用root用户的所有命令,还提权个锤子,直接拿Flag2