Beelzebub靶机实战

admin
admin
admin
103405
文章
87
评论
2023年7月25日14:51:27评论18 views字数 2237阅读7分27秒阅读模式

靶机描述:Difficulty: EasyYou have to enumerate as much as you can and don't forget about the Base64.For hints add me on Twitter- ShauryaSharma05困难程度:简单描述:你需要尽可能地枚举,并且别忘记Base64。

下载地址:https://www.vulnhub.com/entry/beelzebub-1,742/

0x00环境搭建

该靶机使用virtualbox运行,所以将kali与靶机同时置于virtualbox网络中启动。Beelzebub靶机实战

0x01信息收集

kali的IP为192.168.56.102,这里扫描一下局域网网段,尝试发现目标靶机IP。

arp-scan -I eth0 -l

Beelzebub靶机实战发现目标靶机IP为192.168.56.103,接下来进行一波服务探测。

nmap -sT -T4 -p- -A --min-rate=10000 192.168.56.103

Beelzebub靶机实战扫描到目标靶机开放服务为22和80端口,分别提供openSSH 7.6p1服务和Apache httpd 2.4.29服务。再尝试nmap自带的漏洞扫描一下试试。

nmap -sT --script=vuln -p22,80 192.168.56.103

Beelzebub靶机实战发现80端口提供的网页服务存在枚举页面,/phpinfo.php和/phpmyadmin还有一个CVE-2017-1001000。搜索了一下这个CVE编号,是WordPress的一个提权利用,那么现在尝试访问一下这个页面。Beelzebub靶机实战访问80端口,发现是Apache服务的默认配置界面。Beelzebub靶机实战既然靶机描述让我们多利用枚举,那么目录扫描肯定是少不了了。

dirsearch http://192.168.56.103 -t 20 -i 200,301

Beelzebub靶机实战扫描结束,和nmap扫描时候发现的页面大差不差,可以都访问一下。Beelzebub靶机实战还有一个index.php,明明工具是200的状态码,扫描却是Not Found。Beelzebub靶机实战通过浏览器检查和源代码检查,发现是fake页面,同时源码中有一小段注释。Beelzebub靶机实战<!--My heart was encrypted, "beelzebub" somehow hacked and decoded it.-md5-->好像意思是beelzebub这个词是被解码后的,应该还原,使用md5加密试试。

echo -n "beelzebub" | md5sum

Beelzebub靶机实战得出一串md5编码,然后将这一串作为子目录继续进行目录扫描。

dirsearch -u http://192.168.56.103/d18e1e22becbd915b45e0e655429d487/ -t 20 -x 403

Beelzebub靶机实战扫出来许多wp-前缀的目录,一眼看过去就是wordpress,和之前的nmap正好对应。挨个访问一下试试发现/wp-login.php、/wp-content/uploads和/wp-includes可能是存在隐藏点的页面。Beelzebub靶机实战Beelzebub靶机实战Beelzebub靶机实战同时在/uploads下发现了一个Talk To VALAK的页面,输入字符串之后会在页面回显。同时在这个页面加载的时候,cookie中会隐藏一个密码字段。Beelzebub靶机实战拿到一个Password=M4k3Ad3a1,但是没有用户名,所以现在可用使用wpscan专用工具扫描一波试一下。

wpscan --url=http://192.168.56.103/d18e1e22becbd915b45e0e655429d487/ --ignore-main-redirect --force  -e

Beelzebub靶机实战Beelzebub靶机实战虽然没有爆出其他可利用的信息,但是爆出了两个用户名krampus和valak。先尝试能不能通过wp-login.php进去,但是这里不知道是不是靶机问题,login.php重定向到了192.168.1.6,是无法正常使用的。

0x03SSH登录

在前期的nmap阶段还发现存在SSH端口开放,所以可以尝试连接一下SSH,发现krampus这个账户是可以配合密码进去的。Beelzebub靶机实战同时在Desktop文件夹下发现了一个user.txt。

aq12uu909a0q921a2819b05568a992m9

Beelzebub靶机实战但是各种加解密也没发现有什么问题,可能只是普通的flag。

0x03系统提权

检查sudo -l,发现用户密码不对,并且也不属于sudoer组;find / -perm -u=s -type f 2>/dev/null尝试SUID提权,也没有发现好利用的点。检查history命令,发现其中存在这么一串下载exp的命令,本来这个是早就发现的,只是以为是作者没有做好痕迹清理,所以不太想从这里入手,现在看来可能是这台靶机本就被人hack过,所以故意留下线索。Beelzebub靶机实战那我们也同样将这个exp下载并传到靶机中。

scp /home/kali/Desktop/47009 [email protected]:/tmp/

Beelzebub靶机实战上传之后,执行相应的编译命令并运行,拿到root权限并在最终的/root目录拿到flag。

mv 47009 ninggo.c
gcc ninggo.c -o ninggo
./ninggo

Beelzebub靶机实战Beelzebub靶机实战

0x04打靶总结

该靶机难度不高,定位easy,属实简单,前期基本思路不变,唯一可能的问题就是在md5加密得出新目录的路径这里也许会想不到,后续就是WordPress CMS的信息收集,以及对getshell之后的history敏感信息获取。唯一的疑点就是靶机描述中的Base64在哪里没有找到,可能还有潜在的突破点。

原文始发于微信公众号(NG安全团队):Beelzebub靶机实战

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年7月25日14:51:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Beelzebub靶机实战https://cn-sec.com/archives/1904924.html

发表评论

匿名网友 填写信息