vulnhub靶场【shenron】之3

前言

靶机:shenron-3

攻击:kali

都采用虚拟机,网卡为桥接模式

主机发现

使用arp-scan -l或者netdiscover -r 192.168.1.1/24即可

信息收集

使用nmap扫描端口

网站探测

访问网站,发现可能是wordpress,而且经过前面shenron-2靶机后,显示与前面相似,可能需要域名解析

查看页面源代码确定为目录下网站,且有脚本语言php

使用gobuster、ffuf、dirsearch、dirb、dirbuster等工具进行目录扫描

shell 复制代码
gobuster dir -u http://192.168.1.57 -w /usr/share/wordlists/dirb/big.txt -x php,zip,md,txt,html,jpg -b 404

访问http://192.168.1.57/wp-admin发现,进行跳转,需要进行域名绑定

编辑/etc/hosts文件,添加一条映射即可

使用whateweb进行指纹识别

结合目前信息来看,确定为wordpress,那么使用针对wordpress的扫描工具wpscan

shell 复制代码
wpscan --url http://192.168.1.57

尝试枚举用户

漏洞寻找

结合字典,尝试枚举出用户名及密码,发现用户名admin以及密码iloverockyou

也可以找wordpress的版本漏洞,使用searchsploit进行搜索

shell 复制代码
searchsploit wordpress core 4.6

分析所需要的

  • 第一个远程代码执行,这个可以
  • 第二个用户名枚举,不过这里以得知一个用户
  • 第三个未授权密码重置,也是可以
  • 第四个需要认证,那不行
  • 第五个可能是查看未授权的一些文件吧
  • 第六个拒绝服务

第一个远程代码执行脚本,需要开启phpmail,但是这里并没有开启,因为在测试忘记密码时的一个邮件发送,并没有找到,所以不行

第二个暂且不枚举,因为已知一个admin

第三个也是需要开启mail,不行

ok,那就算了吧,再试都曲中人散了。

漏洞利用

直接使用上面枚举出的用户名和密码登录,OK,完全可以登录

那么查看插件plugins,是否可以更改,毕竟这里的插件的PHP语言

发现一个hello dolly插件,把这个插件启用,该插件就是在页面右上角打招呼的,直接修改代码,插入kali自带的反弹php,在/usr/share/webshells/php/php-reverse-shell.php,然后在kali开启监听

使用dpkg -l | grep python查看有无安装python,确定为python3

获取交互式界面

shell 复制代码
python3 -c 'import pty;pty.spawn("/bin/bash")'

靶机内信息收集

使用find寻找SUID和capabilities

shell 复制代码
find / -perm -u=s -type f 2>/dev/null
find / -type f -executable 2>/dev/null | xargs getcap -r 2>/dev/null

查看用户情况

查看网络状态,以及系统内核版本

查看定时任务

提权

收集一圈,未发现可用,那就把收集到的密码进行切换用户测试,最终测试成功,与爆出的密码一致

查看家目录

好嘛,这直接发现一个SUID权限的可执行文件network,执行发现,这很像是netstat,并且测试发现,用户的参数并无用处,说明是设置好的,调用这个命令

把这个文件通过python下载到kali分析

shell 复制代码
靶机执行
python3 -m http.server 9999

kali执行
wget http://192.168.1.57/network

kali上使用strings等命令分析

那么更改环境变量,创建一个同名的文件,最好在/tmp目录

shell 复制代码
cd /tmp
echo /bin/bash > netstat
export PATH=/tmp:$PATH
chmod +x netstat

执行上面命令后,即可发现成功

清除痕迹

各种日志清理,一般采用sed抹去与自己ip相关的即可,这里省事直接置空

shell 复制代码
sed -i "/192.168.1.16/d" auth.log

清除命令历史记录

网站上,把之前的脚本文件内容复原即可

总结

  1. wordpress的一些使用,如xmlrpc.php可能寻找用户名枚举等
  2. 对于枚举的用户进行密码爆破wpscan
  3. 在网站插件插入php的反弹shell,这需要可以在网站进行修改文件的权限
  4. 一码多用的情况
  5. 临时环境变量的提权
相关推荐
谈不譚网安11 分钟前
CSRF请求伪造
前端·网络安全·csrf
帅云毅14 分钟前
Web3.0的认知补充(去中心化)
笔记·学习·web3·去中心化·区块链
豆豆15 分钟前
day32 学习笔记
图像处理·笔记·opencv·学习·计算机视觉
三思而后行,慎承诺17 分钟前
tcp 和http 网络知识
网络·tcp/ip·http
JavaEdge.19 分钟前
LangChain4j HTTP 客户端定制:解锁 LLM API 交互的更多可能性
网络·网络协议·http
Hy行者勇哥24 分钟前
形象解释 HTTP 的四种常见请求方式及其中的区别联系
网络·网络协议·http
nenchoumi311936 分钟前
VLA 论文精读(十六)FP3: A 3D Foundation Policy for Robotic Manipulation
论文阅读·人工智能·笔记·学习·vln
凉、介42 分钟前
PCI 总线学习笔记(五)
android·linux·笔记·学习·pcie·pci
Cuit小唐43 分钟前
TCP 协议:原理、机制与应用
网络·网络协议·tcp/ip
SuperSwaggySUP1 小时前
4/25 研0学习日志
学习