本次实验需要kali虚拟机和靶机(此次靶机版本为ubuntu16-04)靶机我们不知道ip。
kali和靶机默认nat模式即可
在kali(攻击机ip:192.168.3.129)扫描局域网内C段主机(探测靶机ip)
nmap -sP 192.168.3.1/24扫描到靶机ip为192.168.130
扫描ip的端口服务nmap -P 1-65535 -A 192.168.3.130看到22和80端口开启
我们访问一下192.168.3.130查看源码发现并没有什么
我们先目录扫描看看有什么信息,有个wordlists目录但是先不用
可以看到还有一个dev目录,我们访问一下,也没看到有用的信息。
继续扫描txt,php,zip看到三个文件
看下image.php目录,好吧没啥
继续看secret.txt 目录看到有说location.txt
注意靶机有提示说找一个password文件,上面有个fuzz(模糊测试)
构造参数http://192.168.3.130/index.php?para=value,para(参数)value(值)
用字典,wfuzz(kali自带)
过滤下12w只剩下一个“file”
那我们就知道参数是file,http://192.168.3.130/index.php?file=可以想到文件包含漏洞和任意文件访问漏洞,构造一下http://192.168.3.130/index.php?file=/etc/passwd,看到wrong file
想起我们前面看到提示一个location.txt文件,我们设置为值
看到使用参数‘secrettier360’用另一个php那就是image.php
继续http://192.168.3.130/image.php?secrettier360=/etc/passwd注意这里的index.php换成image.php,看到这一串就知道是linux系统
有点乱,我们用命令行访问
找到一个password.txt,诶,这时候想到靶机提示的
http://192.168.3.130/image.php?secrettier360=/home/saket/password.txt
看到follow_the_ippsec,尝试用这个密码登录,结果报错
之前我们扫到一个wordpress(wordpress是一个cms建站系统)访问http://192.168.3.130/wordpress
下滑点击login in,输入这个密码follow_the_ippsec,这个页面其实已经告诉了我们账户名称
如果想不到或者没有的话我们可以用kali自带的wpscan工具(一款wordpress专用的扫描器)
可以看我们扫出来了用户,在我们登录到wordpress时便想到可以用wordpress漏洞利用,我们点击wordpress里面的Appearance里面的theme editor(有关wordpress需要一点了解,这里就不说了,可以自行百度)
看到右边的files找到一个secret.php可以写入代码
我们在这里上传一个木马文件,这里我们可以在攻击机上用msfvenom生成一个php文件,这里ip和端口都是kali的,端口随便设置
我们将shell.php文件内容复制,注意不要复制到/*
将内容复制到wordpress的页面中,update file
我们在kali开启msfconsole模块,用来监听反弹shell,这里的设置要和你msfvenom生成木马的设置一样,exploit
然后再火狐上访问secret.php文件,http://192.168.3.130/wordpress/wp-content/themes/twentynineteen/secret.php访问,反弹到shell
此时我们已经拿到了管理系统的权限,getuid查看一下当前用户,sysinfo查看靶机版本
现在我们权限不够,需要提权到root,可以利用Ubuntu内核提权。
kali另开一个cmd窗口,在msfconsole中搜索ubuntu漏洞,前面sysinfo看到靶机版本是16.04
看到一个4.13.9版本,有一个.c文件,我们在开一个cmd窗口,进入这个.c文件目录
在这里能看到45010.c文件,我们将这个文件复制到当前目录
然后gcc(kali自带)编译
现在我们要将45010上传到管理系统里面,传到/tmp/目录是因为tmp目录是任意用户可读可写可执行
进入tmp目录,ls看到45010,给45010加权限,运行45010
然后whoami查看权限是root用户,cd /root看到有一个root.txt文件,到此拿到了操作系统的root权限,
