Driftingblues5靶机实战

  • Driftingblues5靶机实战已关闭评论
  • 31 views
  • A+

1.靶机简介

靶机为Driftingblues5,
下载地址为[https://download.vulnhub.com/driftingblues/driftingblues5_vh.ova]

2.主机发现

nmap -sP 192.168.17.0/24扫描同网段的主机,发现ip地址为192.168.17.138

nmap -sV 192.168.17.138扫描目标开通的端口,发现开放22(ssh服务)和80(http服务)

wKg0C2BzwpKAWb00AAGznp6tFmc580.png

3.进攻

使用浏览器访问,发现这是一个使用wordpress搭建的博客平台,那我就可以使用Wpscan扫一波了啊

Wpscan是一款专门扫描Wordpass漏洞的黑盒扫描器,有枚举用户名、插件、主题以及它们存在的漏洞等功能。

wKg0C2BzwqSAYjEmAAC5IYctBhE844.png

wpscan -url http://192.168.17.138 -e u,ap,at 发现几个用户名,abuzerkomurcu,collins,gill,satanic,gadd,但是并没有发现存在漏洞的插件

wKg0C2BzwraAFDHlAAFNxGYZKCk600.png

制作dic字典,尝试对用户名进行爆破

cewl -d 3 —with-numbers “http://192.168.17.138/index.php“ -w dic.txt

wKg0C2BzwseAaik4AABV4zvylcE893.png

使用wpscan对用户名进行爆破

wpscan —url http://192.168.17.138 -e u —passwords /home/blue5/dic.txt

wKg0C2BzwtWAHb5cAAAfqoL8aJw755.png

成功拿下用户名密码,登录博客网站看一下

wKg0C2Bzwu6ATRX8AAEbDVcNsNw735.png

登录之后发现这是一个普通账户,不过幸运的是,在媒体文件夹中,发现一个奇怪的图片。将图片下载,使用exiftool工具查看图片发现gill远程连接的密码为59583hello

wKg0C2Bzwv2ANrWOAABlCPMqgA781.png

使用ssh远程连接,拿到第一个flag

wKg0C2BzwwuAToluAAD17tMtD8416.png

距离成功更近一步,我们尝试提权!

4.提权

在gill用户的文件夹中发现一个keyfile.kdbx文件,这是一种数据库的加密文件。

查看keyfile.kdbx的base64编码,并复制到kali虚拟机里面,方便后续进行爆破。

wKg0C2BzwyOASyCiAAHS0VY44WE106.png

查看md5值,确保复制到kail里面的文件与靶机里面的完全一致

wKg0C2BzwzCAHKfyAABNLXzSfjw472.png

使用john工具进行爆破,成功找到密码

wKg0C2Bzwz2AZppAADvHeLGl8763.png

上传到keeWeb打开,地址为:https://app.keeweb.info/ 发现了六个词条,分别为2real4surreal、buddyretard、closet313、exalted、fracturedocean、zakkwylde

wKg0C2Bzw0mAQD1BAACse6d7wmw021.png

我们在回过头看一下靶机根目录的文件,发现一个奇怪的文件,keyfolder,进去查看之后发现是空的。

wKg0C2Bzw1uAEpRMAAHd5AkmRrk807.png

下载pspy64,并用xftp将文件传输到靶机的gill文件夹中,下载地址为https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64

wKg0C2Bzw3yAFGfAADOt236yX4060.png

给pspy64添加可执行权限

wKg0C2Bzw4iAYGGfAAAtYWlX5Ho468.png

发现在根目录每分钟运行一个脚本

wKg0C2Bzw5SATbLcAAFqQFjbN8744.png

尝试使用keyfile.kdbx中的名称新建文件,一旦获得正确的名称,我们会获得一个新的文件

wKg0C2Bzw6CABeqYAACHZ5z5Hck382.png

果然不出所料,找到了root的密码,nice!

wKg0C2Bzw6yAGFPrAAEnaagx6SA187.png

成功拿下root权限已经第二个flag。

相关推荐: 强网杯 2021 baby_diary

强网杯 2021 baby_diary 漏洞 申请和show的时候没有检查负数 在申请空间的时候有off-by-one。 利用 泄漏 在bss段附近存放了地址,该地址指向的内容还是这个值。 二进制文件会输出地址处指向的内容 思路为指定index为负数进行泄漏。…