這個靶機看介紹有4個flag
image.png
信息收集
先探測靶機的ip地址壶谒,在kali中使用netdiscover:
image.png
確定靶機IP為:192.168.3.136
使用nmap探測靶機開啟的服務:
nmap -sS -sV -A 192.168.3.136
image.png
我們可以看到靶機開啟了22端口的ssh服務,80端口的http服務膳沽,以及111端口的rpcbind服務汗菜。
從http服務開啟,我們打開靶機頁面
image.png
看起來像是一個公司網(wǎng)站挑社,首頁網(wǎng)頁源代碼沒有發(fā)現(xiàn)什么有趣的東西
我們爆破一下目錄看看:
python3 dirsearch.py -u http://192.168.3.136/ -e* -w /usr/share/wordlists/Web-Content/directory-list-2.3-medium.txt -t 20
image.png
發(fā)現(xiàn)網(wǎng)站安裝了wordpress建站工具
用kali自帶的wpscan工具嘗試探測wordpress漏洞
wpscan --url http://192.168.3.136/wordpress/ --enumerate u經(jīng)過各種枚舉后陨界,通過上面命令枚舉到了兩個用戶信息
image.png
現(xiàn)在我們收集到了兩個用戶信息:michael和steven
在這里我嘗試用burpsuite嘗試用這兩個用戶名爆破WP的后臺,但是沒有爆破成功滔灶。
想起靶機還開啟了ssh服務普碎,抱著試試的心情嘗試用hydra爆破一下ssh:
hydra -l michael -P /usr/share/wordlists/rockyou.txt ssh://192.168.3.136 -v -f
image.png
成功爆破出michael的密碼為:michael
使用ssh登錄michael:
ssh michael@192.168.3.136
image.png
至此,我們拿到靶機的一個用戶shell
去到網(wǎng)站根目錄录平,在service.html里找到第一個flag
image.png
image.png
flag1:b9bbcb33e11b80be759c4e844862482d
在/var/www/下找到第二個flag
image.png
flag2:fc3fd58dcdad9ab23faca6e9a36e581c
提權(quán)
這部靶機的提權(quán)我做了很多的嘗試麻车。
首先用les.sh枚舉了所有有可能的提權(quán)漏洞。
image.png
包括less probable的斗这。
image.png
全部失敗动猬。此時感覺有點找不到方向了(主要還是自己太菜),又跑到web目錄下看看有沒有什么有用的信息表箭,然后被我找到了數(shù)據(jù)庫連接文件:
image.png
賬號:root
密碼:R@v3nSecurity
用命令行連接mysql:mysql -u root -h 127.0.0.1 -p
image.png
選擇wordpress數(shù)據(jù)庫赁咙,打開wp_users表
image.png
發(fā)現(xiàn)了michael和steven加密的密碼,網(wǎng)上查了一下免钻,wp現(xiàn)在使用的是一種叫phpass的加密技術(shù)彼水。
在kali自帶的John the Ripper工具里支持對phpass加密密碼的破解,(John the Ripper支持7種哈希類型密碼破解极舔,分別是bcrypt凤覆、descrypt 、sha512crypt拆魏、Drupal7盯桦、sha256crypt、md5cryp 與 phpass)
我們把steven的密碼拷貝出來渤刃,存在攻擊機的一個文件里
使用john嘗試破解:
john wp_hashuser.txt --wordlist=/usr/share/wordlists/rockyou.txt
image.png
匹配到一個明文:pink84
用steven:pink84登錄wordpress后臺拥峦,在posts里找到flag3
image.png
flag3:afc01ab56b50591e7dccf93122770cd2
因為在michael的shell中我們嘗試了各種方法都無法提權(quán),是否在steven中會有提權(quán)的方法呢卖子,我們嘗試用上面的web密碼切換到steven
image.png
發(fā)現(xiàn)web后臺和ssh用的是同一個密碼略号。
在steven的shell下,我們執(zhí)行這個枚舉腳本
image.png
提示steven可以無需密碼就可以使用root權(quán)限下的python,那么我們只需要用python獲得一個tty就可以get root了玄柠,執(zhí)行:
sudo python -c 'import pty; pty.spawn("/bin/sh")'
image.png
成功拿到了root權(quán)限氛琢,找到flag4
flag4:715dea6c055b9fe3337544932f2941ce
其他方法
steven的ssh密碼其實也可以通過爆破獲得,可能會跑的比較久一點(看字典)
在steven下用sudo -l也可以看到擁有root權(quán)限的命令
image.png
總結(jié)
這臺的提權(quán)我做了挺久随闪,后來也是參考了其他大佬的方法。感覺提權(quán)漏洞枚舉完所有highly probable的漏洞都不成功的話骚勘,就應該換個思路了铐伴。網(wǎng)站根目錄的文件,一般都要過一下源代碼俏讹,有可疑名字的文件当宴,也要過一下源代碼。22端口的基本滲透思路就是爆破泽疆,字典和耐心都很重要户矢。sudo -l命令在Hacktrick里面就是 Check commands you can execute with sudo
