攻击机:kali linux
靶机:lazysysadmin(vulnhub下载)
网卡均配置为NAT模式,使用vmware打开
目录
壹 信息收集
one 获取目标IP地址
two 80端口
three samba服务
贰 渗透测试
one 网络远程挂载
two 查看文件
three ssh连接并提权
four wp-admin
先查看kali的IP地址
kali与目标靶机在同一C段,使用nmap扫描C段进行主机发现
使用nmap扫描靶机端口开放情况
有很多端口,先从80开始看,浏览网页信息,顺便查看组件
网站主页没有什么内容,利用dirb扫描目录获取更多信息
接下来一个一个看就好了
/phpmyadmin
phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库。
使用默认用户名和口令root:root登陆失败,因为没有密码,先暂时放下
/robots.txt
爬虫文件,规定了哪些内容允许网络爬虫爬取,哪些不允许
发现一张图片的名字很奇怪,但没有其他信息了
/wordpress
WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统(CMS)来使用。
可以看到这个togie很秀,猜测可能是用户名,甚至用户名和密码都是这个,先用小本本记下来
有wordpress的话我们可以使用wpscan进行一个扫描
WPScan是专门检查WordPress网站漏洞的工具,它可以全面检查wp网站的漏洞,例如插件,主题,备份文件等
可以先试用指令更新一下wpscan
wpscan --update
使用也非常简单
wpscan --url http://192.168.74.133/wordpress
列出了很多目录,包括后台登陆口、wordpress版本信息等等
使用指令利用用户名枚举漏洞爆破用户名
wpscan --url http://192.168.74.133/wordpress --enumerate u
发现两个可以登录的用户名
暂时就先这样,继续往下
/wordpress/wp-admin
是wordpress的后台登陆口,可以尝试Admin/admin弱口令登录
其他的也没有在发现什么了
看一下139和445端口运行的samba服务
可以使用enum4linux工具枚举Windows和samba中的数据
enum4linux 192.168.74.133
可以找到共享路径
并且发现共享登录用户名和密码为空
因为共享服务登录用户名和密码为空,且知道共享位置,我们可以使用网络远程挂载
mount -t cifs -o username=' ',password=' ' //192.168.74.133/share$ /media
使用kali的root用户执行命令
进入挂载点查看
在deets.txt中发现密码12345
在wordpress中的配置文件wp-config.php中发现用户名和密码
用已获取的信息尝试进行ssh登录
结果成功使用togie:12345成功登录
查看当前权限,并且发现cd受到了限制
查看用户
查看当前用户权限
可以看到togie的权限为all
因为之前已经知道wordpress有一个用户名为Admin,所以使用Admin:TogieMYSQL12345^^登录wordpress,成功
修改404页面,添加php反弹shell
复制kali中的php-reverse-shell.php(文件位于 /usr/share/webshells/php)中的内容,修改其中的IP和端口
然后,点击update更新代码
在kali中开启监听
在web中访问随意一个没有的连接,就会报404执行命令
回到kali看到监听成功
先获取一个交互式shell
可以直接切换到togie用户
然后在到sudo su root切换到root用户,然后查看flag