**
VulnHub-Stapler: 1-Walkthrough
**
靶机地址:https://www.vulnhub.com/entry/stapler-1,150/
靶机难度:中级(CTF)
靶机发布日期:2016年6月8日
靶机描述:Stapler is reported to be one of several vulnerable systems that are supposed to assist penetration testers with challenges similar to Offensive Security’s PWK coursework.
目标:得到root权限&找到flag.txt
作者:大余
时间:2020-01-07
请注意:对于所有这些计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
描述:
我们在VM中需要确定攻击目标的IP地址,需要使用nmap获取目标IP地址:
我们已经找到了此次CTF目标计算机IP地址:192.168.56.101
这台靶机只能Vb打开,不太习惯,这边只能把网络设置成桥接了Vb和VM一起将就用…
命令:nmap -sS -sV -T5 -A -p- 192.168.56.101
可以看到有很多容易受到攻击的端口都开着,FTP、NetBIOS、、MySQL和运行Web服务器(Apache HTTPD)的端口12380等等
端口多了就从第一个端口入手吧…
nmap扫描出:
ftp-anon: Anonymous FTP login allowed (FTP code 230)
可以匿名登录的意思
我们登录后,进去发现只能匿名访问,不能写…查看有个note文件,下载到本地继续查找信息…
Elly说请确保更新了有效负载信息,完成后将其保留在您的FTP帐户中,John
获得两个用户名…没有密码,先保留信息…继续22端口渗透…
无法直接登录,跳过…
检查80端口…
nikto(开源WEB安全扫描器)进行扫描试试…
抓取这两个数据也没啥信息…
nmap扫描出的信息:
139/tcp open netbios-ssn Samba smbd 4.3.9-Ubuntu (workgroup: WORKGROUP)
看看139的Samba信息,这是一个开放的netbios-ssn,用smbclient来查看(属于samba套件,它提供一种命令行使用交互式方式访问samba服务器的共享资源)
Enum4linux是一个用于枚举来自Windows和Samba系统的信息的工具
或者使用enum4linux来查看…
命令:enum4linux 192.168.56.101 >dayu.out
两种方式都可以看到两个活跃的用户…kathy、tmp
命令:smbclient //fred/kathy -I 192.168.56.101 -N
使用smbclient连接到此共享,并看到有两个文件夹kathy_stuff和backup…
发现todo-list.txt
直接将文件考入本地…
继续访问tmp
命令:smbclient //fred/tmp -I 192.168.56.101 -N
这里竟然有个文件叫LS(和查询一样容易忽略),下载到本地
Kathy用户
这里的意思是
亲爱的凯西,您还应该在WordPress根文件夹中备份wp-config.php文件…
nmap扫描出:3306/tcp open mysql MySQL 5.7.12-0ubuntu1
这里尝试登陆mysql…
测试了几次猜的密码,登不上去,算了…
继续下一个端口…
二、web渗透
nmap扫描出:12380/tcp open http Apache httpd 2.4.18 ((Ubuntu))
查看源代码
发现Zoe用户
命令:nikto -h 192.168.1.13:12380
运行nikto查看下网站信息,发现存在三个目录/admin112233/,/blogblog/和/phpmyadmin/
http访问都是正常页面…返回nmap扫描的结果可以看出,存在https方式访问
Wordpress 4.2.2
admin112233目录将我重定向到xss-payloads.com,blogblog让我进入了WordPress的博客…
对WordPress实例运行wpscan并枚举所有用户,这边是局域网就不截图了,真是很无奈…
命令:wpscan --url https://192.168.1.13:12380/blogblog/ --enumerate uap
因为局域网原因,我在vb上执行得命令,坑爹…
发现wp-content和wp-includes两个目录…和XSS漏洞,路径遍历漏洞和一些插件…还发现嵌入式视频或者播放列表,可以执行LFI漏洞攻击
先访问目录看看把
advanced video
这边得到信息:Wordpress 4.2.2 videos exploit,去谷歌搜索能利用的exp
或者kali搜索
了解下python写的exp,学习学习
这边利用39646.c代码中的:http://127.0.0.1/wordpress/wp-admin/admin-ajax.php?action=ave_publishPost&title=random&short=1&term=1&thumb=[FILEPATH]
Exploit - Print the content of wp-config.php in terminal (default Wordpress config)
直接访问http://192.168.56.108/wordpress/wp-admin/admin-ajax.php?action=ave_publishPost&title=random&short=1&term=1&thumb=/var/
页面内容会出现一个地址:
https://192.168.56.108/blogblog/?p-250(访问)
访问发现
下载后查看
root/plbkac
登录数据库
转到WordPress并检索用户
将文件考出放到文本,然后扫选出user_pass值
命令:awk -F’|’ ‘{print $4}’ dayu.txt.txt
复制黏贴将值继续放入文本
使用john的rockyou.txt破解密码:reliably
通过install plugins函数写了个php反向外壳…
上传php
然后本地nc开启443
获得www-data低权限然后运行uname -a,发现内核版本为4.4…不多说
使用这个39772.c的exp,提权!!(不多做介绍了,后面文章也是慢慢减少步骤,前期文章都有写很详细)
然后上传到靶机,执行即可提权ROOT
flag:b6b545dc11b7a270f4bad23432190c75162c4a2b
这后面没讲很详细,因为后半期的时候遇到了个网络问题,很莫名其妙的问题…弄了5~6小时…
没心情写下去了…好好重新复习一遍
这是第十篇文章,突破了十位数…继续努力突破百位数!!
由于我们已经成功得到root权限&找到6个flag.txt,因此完成了CTF靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
