免责声明:涉及到的所有技术和工具仅用来学习交流,严禁用于非法用途,未经授权请勿非法渗透,否则产生的一切后果自行承担!
0 引言
1 信息收集
1.1 主机探测
打开虚拟网络编辑器查看靶机所在c段:192.168.40.0/24。使用Zenmap扫描存活的主机:
太大和太小的肯定不是,192.168.40.132是小智的kali攻击机,所以192.168.40.130是靶机。
1.2 端口探测
对靶机进行全端口扫描,发现开启端口80和22。80端口一般为web界面,可能存在较多可利用点。
1.3 目录爆破
1.4 FUZZ扫描
可以利用参数访问的目录有image.php和index.php。使用wfuzz对这两个文件进行扫描:
过滤结果为file,说明php存在一个file参数可以访问。该url存在本地文件包含(任意文件读取)漏洞。
2 漏洞利用
2.1 本地文件包含(LFI)
上一步中提示我们需要location.txt文件,所以这里直接尝试访问:
成功了!有了新的提示,我们需要在另一个,也就是image.php中使用secrettier360参数访问,但是没给具体的参数值。所以应该尝试一下ubantu常见的敏感文件路径,如/etc/passwd。
访问成功了。这个文件中存放的是用户名和密码。这里的显示有点乱,小智这里使用了kali自带的工具curl进行了良好的显示:
发现密码全部显示为x,这并不代表没有密码,而是Ubuntu中密码统一存储在/etc/shadow。试着去访问一下:
里面是一个图片文件,猜测是flag,但是获取不了密码等有用的信息,只能再回到/etc/password中寻找。
发现这一行是登录界面未显示完全的内容。尝试访问该路径:
访问成功!页面下面有一行字符,应该就是密码了。但是去靶机上试了一下,发现不是操作系统的密码,也不是ssh密码。只能再看看网站其它后台目录有没有可利用的点。
2.2 wordpress命令执行
网站的其中一个后台就是wordpress,这是一个用于制作博客的平台。点击login后即可进入登录界面,所以合理推测刚才的密码应该就是wordpress的。一些版本的Wordpress存在代码执行漏洞,如果我们能成功登录,就有可能获取服务器控制权。
但是我们不知道用户名。查资料得知,wordpress在部署后,管理员会自动在主页发表一篇名为hello world的文章:
通过此处,我们就能够知道用户victor为管理员用户。使用刚才的密码尝试登录:
登录成功!接下来我们需要寻找一个上传点,在wordpress的Apperance--Theme Editor--secret.php中可以找到一个编写代码的功能点:
找到这里的时候,靶场会贴心的提醒我们。下一步,将我们的反弹shell放在框里并上传,再访问secret.php就可以触发反弹连接了。使用MSF生成反弹shell:
成功了!接下来访问secret.php即可触发连接。通过查资料得知wordpress中secret.php的路径为/wordpress/wp-content/themes/twentynineteen/secret.php。直接访问:
此时MSF中出现meterpreter提示符,表示连接建立成功。
3 权限提升
3.1 Linux内核漏洞
进入root文件夹查看,发现key.txt和root.txt:
在root.txt中成功获取flag!
原文始发于微信公众号(智检安全):靶场复现-Prime:1
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论