vulnhub靶场,WEB DEVELOPER: 1
环境准备
靶机下载地址:https://www.vulnhub.***/entry/web-developer-1,288/
攻击机:kali
靶机:WEB DEVELOPER: 1
下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式,使攻击机和靶机的网络连接一样
打开kali的终端,以root身份运行,输入ifconfig确认kali的ip
信息收集
使用arp-scan -l扫描确定靶机ip,当然也可以用nmap和***discover
使用nmap扫描查看目标靶机端口开放情况
nmap -Pn -sV -p--A 靶机ip
发现80端口和22端口开放
浏览器访问靶机80端口,在浏览器中输入192.168.10.142
按F12显示源代码可判断该网站是否为wordpress所搭建的。
怎么判断网站是不是wordpress搭建的? - wordpress教程 - 知乎
使用dirb对目标进行目录结构扫描
同时打开上面两个网站,发现登录网页和一个浏览包
将这个文件下载下来使用wireshark打开
分析http流数据包发现用户的登录信息
获取了用户名和密码
Form item: "log" = "webdeveloper"
Form item: "pwd" = "Te5eQg&4sBS!Yr$)wf%(DcAd"
渗透过程
登录后台
成功进入后台
在下处发现一处文件上传页面
这里应该试一下反弹shell,弹shell不成功
然后点击Editor
发现这里可以对源码进行修改,尝试对404.php源码进行修改
将反弹shell的代码直接进行替换
反弹shell的代码:反弹shell及其脚本 - mxrmiss - 博客园 (***blogs.***)
选择php的
但是发现点击更新上传时还是会失败
将主题背景改为Twenty Sixteen,点击select然后将404.php源码再次修改为反弹shell的代码
反弹shell脚本(php-reverse-shell)_php通用反弹shell脚本-CSDN博客
上传成功
然后kali监听本地的1234端口
然后浏览器访问http://192.168.109.191//wp-content/themes/twentysixteen/404.php
可以看到kali这边成功反弹回来了一个shell,监听成功
提权
查看当前用户的suid权限
find / -perm -u=s -type f 2>/dev/null
没有什么可利用的命令
输入pwd,获取密码所在文件夹
cd /var/www/html
查看一下网站根目录下面的文件
发现网站默认配置文件,查看其内容
wordpresss的配置文件wp-config.php
发现数据库的用户名和密码,尝试使用这个用户名和密码进行ssh远程连接(可以重新开启一个终端窗口,方便操作)
/** MySQL database username */
define('DB_USER', 'webdeveloper');
/** MySQL database password */
define('DB_PASSWORD', 'MasterOfTheUniverse');
远程登入成功
查看webdeveloper用户的sudo命令
发现tcpdump命令,直接上提权网站进行查找
tcpdump | GTFOBins
成功提权
