Vulnhub靶机：driftingblues 2

一、介绍

运行环境：Virtualbox

攻击机：kali（10.0.2.15）

靶机：driftingblues2（10.0.2.18）

目标：获取靶机root权限和flag

靶机下载地址：https://www.vulnhub.com/entry/driftingblues-2,634/

二、信息收集

使用nmap主机发现靶机ip：10.0.2.18

在这里插入图片描述

使用nmap端口扫描发现靶机开放端口：21、22、80

在这里插入图片描述

21端口：nmap扫描发现ftp存在匿名登录，可以获取文件：secret.jpg

在这里插入图片描述

获取secret.jpg文件，使用binwalk工具查看图片信息，未发现隐藏信息

binwalk secret.jpg

在这里插入图片描述

80端口：打开网站查看源码，没有什么可利用的点

在这里插入图片描述

使用dirsearch工具扫描爆破目录，发现一个博客网站，访问博客，该网站是wordpress模板搭建的

在这里插入图片描述

既然是wordpress可以使用wpscan工具进行扫描，得到一个用户名：albert

wpscan --url http://10.0.2.18/blog/ --enumerate u,p,t --plugins-detection aggressive --detection-mode aggressive

在这里插入图片描述

打开网站尝试看看有没有弱口令，输入用户名密码点击登录，网站会加载域名

在这里插入图片描述

修改/etc/hosts文件，添加一行数据

10.0.2.18      driftingblues.box

使用域名访问网站，查看源码，还是没有找到可利用的地方，尝试使用wpscan对albert用户进行暴力破解，破解成功获得用户名密码：albert/scotland1

wpscan --url http://10.0.2.18/blog/ -P /usr/share/wordlists/rockyou.txt -U albert

在这里插入图片描述

三、漏洞利用

使用爆破出来的用户名密码登录博客网站，获取shell，这里有几个方法：

1）登录wordpress后台，看是否已经安装有插件，并且插件的功能中有可以上传文件的入口，此时将php reverse shell以规定的格式（比如zip)上传至目标站点。

2）通过Metasploit中的exploit/unix/webapp/wp_admin_shell_upload模块获取目标主机的Shell

3）将php reverse shell压缩成zip格式，然后将其作为插件进行安装

4）向目标主机上传有漏洞的插件，比如Responsive Thumbnail slider version 1.0

5）直接在安装Plugin处上传php reverse shell.php文件，无需压缩，可能没有返回成功上传的提示，但是到/wp-content/uploads即可看到所上传的文件

我使用了方法5，上传php reverse shell.php文件，获取shell成功

在这里插入图片描述

四、提权

首先查看有没有特权命令或有没有可以利用的具有root权限的文件，发现都没有可利用的地方

到靶机各处翻一翻，看看有没有其他可利用的地方

发现靶机有一个freddie用户，我们可以查看他的ssh的私钥

在这里插入图片描述

可以将拷贝私钥到本地进行远程登录

chmod 600 id_rsa       
ssh -i id_rsa freddie@10.0.2.18

在这里插入图片描述

登录freddie用户使用命令sudo -l查看有没有特权命令，发现可以执行nmap命令

在这里插入图片描述

使用nmap命令进行提权，提权成功，用这个方法输入没有回显

#nmap以root运行
echo "os.execute('/bin/sh')" > shell.nse 
#nse是nmap的插件扩展名
sudo nmap --script=shell.nse

在这里插入图片描述

获取flag

在这里插入图片描述

完工

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/news/620511.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！