靶机地址:https://www.vulnhub.com/entry/bsides-vancouver-2018-workshop%2C231/
靶机难度:中级(CTF)
靶机发布日期:2018年3月21日
靶机描述:
Boot2root挑战旨在创建一个安全的环境,您可以在该环境中对(故意)易受攻击的目标执行真实的渗透测试。
该研讨会将为您提供定制的VM,目标是在其上获得根级别的访问权限。
对于那些想进入渗透测试却又不知道从哪里开始的人来说,这是一个很大的机会。*
如果这听起来令人生畏,请不要担心!在研讨会期间,我们将在渗透测试的每个步骤中讨论各种方法,常见的陷阱和有用的工具。
目标:得到root权限&找到flag.txt
请注意:对于所有这些计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
我们在VM中需要确定攻击目标的IP地址,需要使用nmap获取目标IP地址:
我们已经找到了此次CTF目标计算机IP地址:
192.168.56.134
nmap扫到了21、22和80端口在运行...80端口开放了/backup_wordpress...
这边直接访问FTP,发现了/public/users.txt.bk文件,打开发现了:
abatchyjohnmaiannedoomguy
这应该是五个用户名...
访问web...
说未添加内容,会看到nmap发现的目录,访问试试...
发现了wordpress site 框架...查看前端源码,和别的地方都没发现有用的信息...这边wpscan爆破看看...
wpscan --url http://192.168.56.134/backup_wordpress/ --enumerate使用过wpscan枚举出了admin和john两个用户是存在的...
wpscan --url http://192.168.56.134/backup_wordpress --username john --wordlist /root/Desktop/dayubsides/rockyou.txt这边发现了john的密码是enigma
可以文件上传...或者利用wp_admin_shell_upload 漏洞上传都可以获得权限...
将shell上传即可...
访问即可获得www-data低权...
这边发现了anne用户可以直接提权???
hydra -l anne -P /usr/share/wordlists/rockyou.txt -t 4 192.168.56.134 ssh通过九头蛇直接破解anne用户密码:princess
查看果然可以使用sudo提权...这边成功获得root权限和flag...(这是提权经验多的一看就能直接拿到权限了)
另外介绍数据库提权,这么多篇过来,都应该知道wordpress存在 wp-config.php文件,里面有mysql账号密码...这边看看
thiscannotbeit密码...登陆试试...
拒绝登陆....
拒绝...
在找找另外一条路....(加油)
mysql这条路行不通...尴尬....
lsb_release -a这边查询到可以版本漏洞...可以使用脏牛提权...试试
我发现这里无法上传文件...
这边用MSF内核提权...耻辱提权,但也是一种方法...
利用exploit/unix/webapp/wp_admin_shell_upload 上传外壳shell提权...
命令:
1. set rhost 192.168.56.1342. set targeturi /backup_wordpress3. set username john4. set password enigma
可以看到session 1已经渗透进去了...这边和前面方法一样...可以获得root和flag....
这边就不演示下去了,我相信还有最少几种不同的方法能渗透拿到root和flag...(这边如果哪位兄弟发现了,记得告知我)
由于我们已经成功得到root权限和flag,因此完成了简单靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
原文始发于微信公众号(大余安全):VulnHub-BSides Vancouver: 2018 (Workshop)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论