16.CTF綜合靶機滲透(九)

Boot2root challenges aim to create a safe environment where you can perform real-world penetration testing on an (intentionally) vulnerable target.

This workshop will provide you with a custom-made VM where the goal is to obtain root level access on it.

This is a great chance for people who want to get into pentesting but don’t know where to start. *

If this sounds intimidating, don’t worry! During the workshop, we’ll be discussing various methodologies, common pitfalls and useful tools at every step of our pentest.

Requirements:

• Laptop capable of running two VMs and has a USB port.
• At least 20GB of free space.
• VirtualBox pre-installed.
• Kali VM
• Some familiarity with CLI.

信息蒐集

攻擊主機選用的是kali，應爲以爲功能比較齊全，IP爲：192.168.0.105

nmap進行統一網段掃描，找出靶機IP：

靶機IP爲 ： 192.168.0.103

咱們用nmap掃描出其餘有用的信息，好比端口，開的服務等...

 

由此咱們發現開放了 21，22，80端口

而且注意到21端口：

Anonymous是ftp匿名用戶登錄，這樣的話咱們直接在瀏覽器訪問靶機的21端口：

發現有個users.txt.bk文件

感受應該是一些用戶名..

咱們訪問一下80端口，也就是靶機首頁

咱們直接技術三連：robots.txt，源碼，御劍(dirb)...

源碼沒什麼東西...

咱們用kali的dirb探測一下目錄：

發現robots.txt的響應值爲200，咱們嘗試訪問：

有個/backup_wordpress 目錄：

居然是wordpress！！！臭名昭著的好嗎！！！

kali對應的有一個wpscan工具，專門用來掃描wordpress漏洞：

wpscan -u http://192.168.0.103/backup_wordpress/  -e u,v,p

 

發現wpscan說 The version is out of date, the latest version is 1.4
....多是個人wpscan版本太老了吧
可是咱們起碼知道有兩個登陸名，一個是admin，一個是john

我使用burp進行爆破：

只要字典足夠強大...

咱們能夠獲得用戶名密碼   john/enigma

咱們登錄看一下：

登錄成功，下一步就是要拿到shell:

wordpress拿shell的方法不少（對於低版原本說）

1.在404頁面插入一句話馬，而後作端口監聽

2.本機創建目錄「mama」，把一句話木馬1.PHP放進去，打包mama目錄爲zip文件，而後在wordpress後臺

的主題管理，上傳主題，安裝，則你的後門路徑爲：wp-content/themes/mama/1.php

3.修改插件，爲了方便，我直接添加的是大馬

這樣的話，咱們直接訪問 http://192.168.0.101/backup_wordpress/wp-content/plugins/akismet/index.php

就能夠成功訪問咱們的大馬：

咱們還獲得了數據庫的帳戶跟密碼：

有點小失望，應爲不是root，最高權限.

咱們來嘗試登錄數據庫：

這wordpress管理員密碼的加密方式...不知難倒了多少人...

咱們嘗試一下提權，後來發現EXP沒法執行

有權限限制，我技術比較菜，真的搞了很久，都沒提權成功

參照大佬們的。

在 /usr/local/lib 目錄下發現了python2.7版本的

在 /usr/local/bin目錄下的cleanup這個文件是0777權限

也就是最高權限:

在cleanup這個文件中，發現了#!/bin/sh

說明這是個腳本，百度一下，發現這個cleanup.sh腳本是一個清空/var/log目錄下的日誌文件的腳本,

經過linux下crontab來控制腳本有周期的運行，那必然是root權限

這給了咱們思路。能夠生成一個反彈的shell來替代cleanup裏面的內容，而後系統會自動運行cleanup.sh腳本，

那時咱們的shell就能起到做用，端口監聽也會受到迴應

咱們用kali的msfvenom模塊，生成一個反彈的shell

咱們上傳這個反彈的shell:

而後咱們設置端口監聽：

稍等一會，等到腳本執行，發現咱們監聽端口有了反應：

成功拿到flag！！！

 

靶機雖然完成了，可是也有問題：

咱們直接在大馬的反彈提權功能上，進行反彈shell,端口監聽也沒問題，就是提高不了權限，

 

嘗試上傳gcc編譯過的exp，都拿不到權限

有人說可使用髒牛提權，或者mysql提權，各位不妨嘗試一下

若是有人作出來了，請讓小弟拜讀一二

 

反彈shell參考連接 : https://www.anquanke.com/post/id/87017

msfvenom用法參考連接 ：http://blog.51cto.com/luoshy/1958932