**
VulnHub-BSides Vancouver: 2018 (Workshop)-Walkthrough
**
靶机地址:https://www.vulnhub.com/entry/bsides-vancouver-2018-workshop%2C231/
靶机难度:中级(CTF)
靶机发布日期:2018年3月21日
靶机描述:
Boot2root挑战旨在创建一个安全的环境,您可以在该环境中对(故意)易受攻击的目标执行真实的渗透测试。
该研讨会将为您提供定制的VM,目标是在其上获得根级别的访问权限。
对于那些想进入渗透测试却又不知道从哪里开始的人来说,这是一个很大的机会。*
如果这听起来令人生畏,请不要担心!在研讨会期间,我们将在渗透测试的每个步骤中讨论各种方法,常见的陷阱和有用的工具。
要求:
能够运行两个虚拟机并具有USB端口的笔记本电脑。
至少20GB的可用空间。
已预先安装VirtualBox。
kali-VM
熟悉CLI
是的,这是另一个基于WordPress的VM(尽管只有我的第二个)----谷歌翻译
目标:得到root权限&找到flag.txt
作者:大余
时间:2020-01-27
请注意:对于所有这些计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
我们在VM中需要确定攻击目标的IP地址,需要使用nmap获取目标IP地址:
我们已经找到了此次CTF目标计算机IP地址:192.168.56.134
nmap扫到了21、22和80端口在运行…80端口开放了/backup_wordpress…
这边直接访问FTP,发现了/public/users.txt.bk文件,打开发现了:
abatchy
john
mai
anne
doomguy
这应该是五个用户名…
访问web…
说未添加内容,会看到nmap发现的目录,访问试试…
发现了wordpress site 框架…查看前端源码,和别的地方都没发现有用的信息…这边wpscan爆破看看…
命令:wpscan --url http://192.168.56.134/backup_wordpress/ --enumerate
使用过wpscan枚举出了admin和john两个用户是存在的…
命令:wpscan --url http://192.168.56.134/backup_wordpress --username john --wordlist /root/Desktop/dayubsides/rockyou.txt
这边发现了john的密码是enigma
可以文件上传…或者利用wp_admin_shell_upload 漏洞上传都可以获得权限…
二、提权
将shell上传即可…
访问即可获得www-data低权…
这边发现了anne用户可以直接提权???
命令:hydra -l anne -P /usr/share/wordlists/rockyou.txt -t 4 192.168.56.134 ssh
通过九头蛇直接破解anne用户密码:princess
查看果然可以使用sudo提权…这边成功获得root权限和flag…(这是提权经验多的一看就能直接拿到权限了)
另外介绍数据库提权,这么多篇过来,都应该知道wordpress存在 wp-config.php文件,里面有mysql账号密码…这边看看
thiscannotbeit密码…登陆试试…
拒绝登陆…
拒绝…
在找找另外一条路…(加油)
mysql这条路行不通…尴尬…
命令:lsb_release -a
这边查询到可以版本漏洞…可以使用脏牛提权…试试
我发现这里无法上传文件…
第二种提权:
这边用MSF内核提权…耻辱提权,但也是一种方法…
利用exploit/unix/webapp/wp_admin_shell_upload 上传外壳shell提权…
命令:
- set rhost 192.168.56.134
- set targeturi /backup_wordpress
- set username john
- set password enigma
可以看到session 1已经渗透进去了…这边和前面方法一样…可以获得root和flag…
这边就不演示下去了,我相信还有最少几种不同的方法能渗透拿到root和flag…(这边如果哪位兄弟发现了,记得告知我)
由于我们已经成功得到root权限和flag,因此完成了简单靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
