渗透测试靶机— Stapler-1
先开启靶机,依旧登录界面,平平无奇!
kali扫描一波:
这里也是成功爆出很多端口,已经服务,设置看到了未授权访问等
- 这里先尝试ftp匿名登录
- 可见,成功登录,查看内容:
- 这里的信息:一个是Elly,另一个是John
继续下一个端口尝试利用
- 这里有666端口,探测到的服务是doom(厄运)?
- 直接尝试访问,这里最终发现需要nc连接,在连接时会存在一些乱码,将这些乱码保存
- 这里文件内容依然是乱码,看看文件到底是什么格式的,结果显示是zip,直接解压,并且发现了前面探测到的文件
- 老工具上场:
- 这里暗示会得到一个Cookie,暂时没有获取到相对应的信息,做到后来才发现,这就是一个小彩蛋,没什么用
继续看端口:
- 这里还有个http的网页的端口,直接访问:
- 这里没发现具体内容,还是需要扫描目录,通过nikto扫描发现这里存在ssl协议,并且有三个目录,尝试访问后都重定向到了原始界面,有ssl,使用https来尝试,成功
- 页面是没有直接给出提示的,但是在扫描工具中,发现了这个页面存在漏洞,并且爆出了存在WordPress站点并且版本为:4.2.2
- 直接查看扫描出的暴露目录:
- 一个很明显的信息泄露,这里通过advanced_video_embed.php搜索发现了相关漏洞,直接kali拉到本地
- 查看exp,这里需要将其中的导入信息修改,并添加页面url
- 执行完exp后在upload目录中会存在一个上传的图片信息,可以直接wget下载到本地查看
- 这里的图片主要是获取到了一个wp-config.php的代码,其中就包含了数据库的信息
- 获取到mysql用户名密码:root/plbkac
登录数据库
- 这里有了账户密码,尝试登录:
- 登录成功,直接查看数据库内容
- 或者:
这里直接放在文件中尝试爆破
发现这里的密码除了incorrect都不可用,所以直接用这个密码对应的john用户来登录后台,后台是之前爆破出来的
- 登录后台:
- 成功登录,这里在仔细查找过大部分的功能后,发现上传点
- 直接上传php文件,反弹shell
其他方法:
直接使用weevely生成后门代码,然后上传,在通过指令连接,获得shell
这里还有其他方法,例如msf执行,还有mysql写入文件执行,均可达到获取shell的效果
提权
-
这里可以看出内核信息
-
查询searchsploit Linux Kernel 4.4.x ,拉取到本地,然后就是上传,执行
-
-
最后成功获取到root权限
-
另外使用别的方法提权:
这里通过脚本执行,获取到:PermitEmptyPasswords yes,并且在home目录下还存在大量用户名
可以通过对ssh用户名的爆破来获取密码,这里可以使用hydra
爆破发现JZQuyIN5,对应的账户为:peter
而使用这个密码,发现在peter用户的SUDO中存在all;all;all权限,那么直接可以使用SUDO提取方式,也能成功