zoukankan      html  css  js  c++  java
  • 16.CTF综合靶机渗透(九)

    Boot2root challenges aim to create a safe environment where you can perform real-world penetration testing on an (intentionally) vulnerable target.

    This workshop will provide you with a custom-made VM where the goal is to obtain root level access on it.

    This is a great chance for people who want to get into pentesting but don’t know where to start. *

    If this sounds intimidating, don’t worry! During the workshop, we’ll be discussing various methodologies, common pitfalls and useful tools at every step of our pentest.

    Requirements:

    • Laptop capable of running two VMs and has a USB port.
    • At least 20GB of free space.
    • VirtualBox pre-installed.
    • Kali VM
    • Some familiarity with CLI.

    信息搜集

    攻击主机选用的是kali,应为觉得功能比较齐全,IP为:192.168.0.105

    nmap进行统一网段扫描,找出靶机IP:

    靶机IP为 : 192.168.0.103

    我们用nmap扫描出其他有用的信息,比如端口,开的服务等...

     

    由此我们发现开放了 21,22,80端口

    并且注意到21端口:

    Anonymous是ftp匿名用户登陆,这样的话我们直接在浏览器访问靶机的21端口:

    发现有个users.txt.bk文件

    感觉应该是一些用户名..

    我们访问一下80端口,也就是靶机首页

    我们直接技术三连:robots.txt,源码,御剑(dirb)...

    源码没什么东西...

    我们用kali的dirb探测一下目录:

    发现robots.txt的响应值为200,我们尝试访问:

    有个/backup_wordpress 目录:

    竟然是wordpress!!!臭名昭著的好吗!!!

    kali对应的有一个wpscan工具,专门用来扫描wordpress漏洞:

    wpscan -u http://192.168.0.103/backup_wordpress/  -e u,v,p

     

    发现wpscan说 The version is out of date, the latest version is 1.4
    ....可能是我的wpscan版本太老了吧
    但是我们起码知道有两个登录名,一个是admin,一个是john

    我使用burp进行爆破:

    只要字典足够强大...

    我们可以得到用户名密码   john/enigma

    我们登陆看一下:

    登陆成功,下一步就是要拿到shell:

    wordpress拿shell的方法很多(对于低版本来说)

    1.在404页面插入一句话马,然后做端口监听

    2.本机建立目录“mama”,把一句话木马1.PHP放进去,打包mama目录为zip文件,然后在wordpress后台

    的主题管理,上传主题,安装,则你的后门路径为:wp-content/themes/mama/1.php

    3.修改插件,为了方便,我直接添加的是大马

    这样的话,我们直接访问 http://192.168.0.101/backup_wordpress/wp-content/plugins/akismet/index.php

    就可以成功访问我们的大马:

    我们还得到了数据库的账户跟密码:

    有点小失望,应为不是root,最高权限.

    我们来尝试登陆数据库:

    这wordpress管理员密码的加密方式...不知难倒了多少人...

    我们尝试一下提权,后来发现EXP无法执行

    有权限限制,我技术比较菜,真的搞了好久,都没提权成功

    参照大佬们的。

    在 /usr/local/lib 目录下发现了python2.7版本的

    在 /usr/local/bin目录下的cleanup这个文件是0777权限

    也就是最高权限:

    在cleanup这个文件中,发现了#!/bin/sh

    说明这是个脚本,百度一下,发现这个cleanup.sh脚本是一个清空/var/log目录下的日志文件的脚本,

    通过linux下crontab来控制脚本有周期的运行,那必然是root权限

    这给了我们思路。可以生成一个反弹的shell来替代cleanup里面的内容,然后系统会自动运行cleanup.sh脚本,

    那时我们的shell就能起到作用,端口监听也会受到回应

    我们用kali的msfvenom模块,生成一个反弹的shell

    我们上传这个反弹的shell:

    然后我们设置端口监听:

    稍等一会,等到脚本执行,发现我们监听端口有了反应:

    成功拿到flag!!!

    靶机虽然完成了,但是也有问题:

    我们直接在大马的反弹提权功能上,进行反弹shell,端口监听也没问题,就是提升不了权限,

     

    尝试上传gcc编译过的exp,都拿不到权限

    有人说可以使用脏牛提权,或者mysql提权,各位不妨尝试一下

    如果有人做出来了,请让小弟拜读一二

    反弹shell参考链接 : https://www.anquanke.com/post/id/87017

    msfvenom用法参考链接 :http://blog.51cto.com/luoshy/1958932

  • 相关阅读:
    DocKer 创建容器 镜像端口映射失败
    Window中的Docker 拉取Mysql镜像 并在本地Navicate链接
    Mysql之主从复制
    Nginx 实现负载均衡
    如何将composer设置为全局变量?
    Linux安装telnet
    LINUX 安装扩展(笔记)
    PHP 开发 APP 接口 学习笔记与总结
    504 Gateway Time-out
    Luogu P1542包裹快递【实数域二分】 By cellur925
  • 原文地址:https://www.cnblogs.com/bmjoker/p/9297488.html
Copyright © 2011-2022 走看看