安全学习(4)

靶机Web Developer渗透

实验步骤和内容:
目的:获取靶机Web Developer 文件/root/flag.txt中flag。
基本思路:本网段IP地址存活扫描(netdiscover);网络扫描(Nmap);浏览HTTP 服务;网站目录枚举(Dirb);发现数据包文件 “cap”;分析 “cap” 文件,找到网站管理后台账号密码;插件利用(有漏洞);利用漏洞获得服务器账号密码;SSH 远程登录服务器;tcpdump另类应用。

主机发现

使用nmap -sV 192.168.131.0/24扫描网段存活主机,192.168.131.140为目标靶机
安全学习(4)

尝试访问网站

因为从扫描端口版本信息发现靶机开放了80端口,于是我们先访问一下此网站
可以访问到他的网站
安全学习(4)

查看cms信息

使用whatweb 查看对应版本信息 whatweb 192.168.131.140:80,发现为wordPross4.9.8
安全学习(4)
WordPress网站介绍
Wordpress作为三大建站模板之一,在全世界范围内有大量的用户Wordpress自诞生起也出现了很多漏洞。Wordpress还可以使用插件、主题。于是Wordpress本身很难挖掘什么安全问题的时候,安全研究者开始研究其插件、主题的漏洞。通过插件,主题的漏洞去渗透Wordpress站点,于是WPScan应运而生,收集 Wordpress的各种漏洞,形成一个Wordpress专用扫描器.

使用dirb扫描网站根目录

whatweb http://192.168.131.140
发现根目录下有个叫ipdata的文件夹
安全学习(4)
尝试着访问一下,发现有个文件analyz.cap文件,我们下载它
安全学习(4)
使用wirshark打开,并且 过滤post方法
安全学习(4)
追踪http流
安全学习(4)
得到了wp-login.php登陆界面的账号密码
看着密码像是加密过的
我们先使用burp抓包看看他的密码
发现我们填进去的时明文密码
安全学习(4)

于是我们就用上面抓到的密码直接登录,发现还是登录不了,
安全学习(4)
我们使用brup抓包然后将wirshark抓到的数据填入,放包,成功登录
安全学习(4)
安全学习(4)

利用插件漏洞

在插件里边悄悄的写入反弹shell
安全学习(4)
当出现下main这种情况时时因为我们已经启用了插件
先出去关掉插件
安全学习(4)
安全学习(4)
怎么连接呢先在kali终端
nc -lvp 123开启监听
之后再点击select
即可激活
安全学习(4)

接收到连接
安全学习(4)

提升shell为交互式tty

安全学习(4)
直接cat /root/flag.txt
发现禁止访问
安全学习(4)

查找wp-config.php

不断的ls cd … 查找,找到了数据用户名跟密码
安全学习(4)
安全学习(4)

使用ssh登录数据库

输入数据库用户名跟ip地址
安全学习(4)
发现还是不能cat flag.txt

使用tcpdump执行任意命令(当tcpdump捕获到数据包后会执行指定的命令)

发现可以执行以root权限执行tcpdump命令
安全学习(4)
安全学习(4)

安全学习(4)
tcpdump命令详解:
-i eth0 从指定网卡捕获数据包
-w /dev/null 将捕获到的数据包输出到空设备(不输出数据包结果)
-z [command] 运行指定的命令
-Z [user] 指定用户执行命令
-G [rotate_seconds] 每rotate_seconds秒一次的频率执行-w指定的转储
-W [num] 指定抓包数量

上一篇:实验四 CTF实践


下一篇:tcpdump命令抓包那点事