靶机实战-BSides-Vancouver

BSides-Vancouver靶机实战

1、主机发现

三个IP，但MAC地址都一样，所有是一个主机，三个IP都可以用

2、端口及端口详细信息

目标开放21、22、80端口

3、老规矩访问http服务(80端口)

查看源码：

啥都没有…
扫一下目录：

先访问一下robots：

备份文件？wordpress？拼接到url后面试一下：

发现cms就是wordpress，版本为4.5
直接上wpscan暴力枚举用户名：


用户名有：john admin
接下来就是**密码了

bp抓包，选择**的参数

用户字典添刚才爆出来的两个就好

密码字典我选了burp自带的

等待中…

得到用户名john，密码enigma
尝试登录

登陆成功
以前做过类似的wordpress，是直接给404页面里面写一句话

添加好之后点击最下面的update file

先随便输入参数，运行404页面

尝试用蚁剑连接
我的蚁剑没连上，直接换反弹shell：
借用Kali中的/usr/share/webshells/php/php-reverse-shell.php

修改完点击update
kali开启监听：

随便输入错误参数，运行404页面


拿到shell

4、提权

在home文件下发现五个用户，可尝试ssh**(22端口)：

发现只有anne用户允许远程登录
使用hydra**：

拿到密码princess
远程登录：

sudo -l查看是否属于sudo组：

属于sudo组，可直接获得root权限

5、提权二

计划任务结合Cleanup文件提权
查看计划任务：

发现一段使用base64编码的字符串，解码后发现，这个文件是用来清理日志的文件


查看cleanup的权限,可以看到其他用户也拥有也写入权限
将其中的内容替换为一个反弹shell的脚本

kali开启监听：

再查看cleanup：


查看kali拿到root权限

总结

1、信息收集、端口扫描及服务识别
2、目录扫描，敏感信息泄露
3、wpscan扫描漏洞、枚举wordpress用户
4、暴力**wordpress密码
5、404页面上传一句话，触发404页面,蚁剑连接，然后上传反弹shell，触发，kali端监听获得shell(这个方法我没成功，我是直接在404页面里面写了反弹shell，一句话就看你们了)
6、hydra暴力**ssh用户密码
7、sudo提权
8、利用计划任务结合文件权限配置不当提权