**声明:**文章来自作者日常学习笔记,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。仅供学习研究
靶机信息
下载地址:
https://www.vulnhub.com/entry/hack-me-please-1,731/
靶场: VulnHub.com
靶机名称: Looz-1
难度: 简单+
发布时间: 2021年8月2日
提示信息:
Not that hard and not that easy, it's always straightforward if you can imagine it inside your mind.
不是那么难,也不是那么容易,如果你能在脑海中想象它,它总是直截了当的。
目标: 2个flag
实验环境
攻击机:VMware kali 192.168.7.3
靶机:Vbox linux IP自动获取
信息收集
扫描主机
扫描局域网内的靶机IP地址
sudo nmap -sP 192.168.7.1/24
扫描到主机地址为192.168.7.109
扫描端口
扫描靶机开放的服务端口
sudo nmap -sC -sV -p- 192.168.7.109 -oN looz.nmap
扫描到4个开放端口,其中80与8081是http服务,22端口是SSH服务,3306是mysql数据库服务,让我们先从http服务开始
Web渗透
访问80端口查找敏感信息
http://192.168.7.109
首页上站内链接页面报错,源码内发现一段注释john don't forget to remove this comment, for now wp password is y0uC@n'tbr3akIT这里面的内容应该是帐号和密码
帐号john
密码y0uC@n'tbr3akIT
没有其它可利用信息,做个目录扫描
最近使用gobuster扫描电脑会自动重启,我换成了dirsearch
dirsearch -u http://192.168.7.109 -e php,html,txt,zip
换了几个字典都没有发现可利用的信息,访问8081看看
http://192.168.7.109:8081
访问后又跳转到80端口了,抓包看看
请求后便会跳转到80端口,换成POST再请求试试
更改请求方式后出现wp.looz.com域名,我们绑定域名再访问
sudo vi /etc/hosts
访问域名
http://wp.looz.com/
访问后是一个wordpress站点,点击hello world查看管理员帐号
发现帐号是80端口注释里的帐号,那就用帐号john密码y0uC@n'tbr3akIT尝试登录后台
http://wp.looz.com/wp-admin
登录成功,让我们看看有什么可以利用的,
未找到可利用信息,高版本不让修改模板无法反弹shell
WPScan
wpscan是一款专门针对wordpress漏洞的扫描工具,下载和注册请看我上一篇文章
wpscan --url http://wp.looz.com --api-token 你的token --plugins-detection aggressive -e u
暴了9个漏洞但都没有poc,和7个帐号,再往下没有思路了,拿这7个帐号做个用户字典去暴破ssh
vi user.txt
john
mason
william
james
evelyn
harper
gandalf
SSH弱口令暴破
hydra -L user.txt -P /usr/share/wordlists/rockyou.txt 192.168.7.109 ssh
暴破成功,帐号gandalf密码highschoolmusical现在可以登录ssh了
ssh gandalf@192.168.7.109
登录成功,找找可利用的信息
在alatar用户目录下找到user.txt
cat user.txt
权限提升
拿到第1个flag,看下有什么能利用提权的
sudo -l
没有权限,查找下suid
find / -perm -u=s -type f 2>/dev/null
发现一个可疑文件,去看看
cd Private
ls
分析一下
strings shell_testv1.0
看到执行/bin/bash我们跑一下程序看看
./shell_testv1.0
直接提到root权限了..........找一下最后一个flag
cd /root
ls
cat root.txt
拿到root权限的flag游戏结束
END
这篇文章到这里就结束了,喜欢打靶的小伙伴可以关注"伏波路上学安全"微信公众号,或扫描下面二维码关注,我会持续更新打靶文章,让我们一起在打靶中学习进步吧.
