渗透测试靶机--- Stapler-1

渗透测试靶机— Stapler-1

---

先开启靶机，依旧登录界面，平平无奇！

kali扫描一波：

这里也是成功爆出很多端口，已经服务，设置看到了未授权访问等

• 这里先尝试ftp匿名登录
  
  
• 可见，成功登录，查看内容：
  
  
• 这里的信息：一个是Elly，另一个是John

继续下一个端口尝试利用

• 这里有666端口，探测到的服务是doom（厄运）？
• 直接尝试访问，这里最终发现需要nc连接，在连接时会存在一些乱码，将这些乱码保存
  
  
• 这里文件内容依然是乱码，看看文件到底是什么格式的，结果显示是zip，直接解压，并且发现了前面探测到的文件
  
  
• 老工具上场：
  
• 这里暗示会得到一个Cookie，暂时没有获取到相对应的信息，做到后来才发现，这就是一个小彩蛋，没什么用

继续看端口：

• 这里还有个http的网页的端口，直接访问：
  
• 这里没发现具体内容，还是需要扫描目录，通过nikto扫描发现这里存在ssl协议，并且有三个目录，尝试访问后都重定向到了原始界面，有ssl，使用https来尝试，成功
  
  

• 页面是没有直接给出提示的，但是在扫描工具中，发现了这个页面存在漏洞，并且爆出了存在WordPress站点并且版本为：4.2.2
• 直接查看扫描出的暴露目录：
• 
• 一个很明显的信息泄露，这里通过advanced_video_embed.php搜索发现了相关漏洞，直接kali拉到本地
  
  
• 查看exp，这里需要将其中的导入信息修改，并添加页面url
• 执行完exp后在upload目录中会存在一个上传的图片信息，可以直接wget下载到本地查看
• 这里的图片主要是获取到了一个wp-config.php的代码，其中就包含了数据库的信息
• 获取到mysql用户名密码：root/plbkac

登录数据库

• 这里有了账户密码，尝试登录：
• 登录成功，直接查看数据库内容
• 
• 或者：
  

这里直接放在文件中尝试爆破

发现这里的密码除了incorrect都不可用，所以直接用这个密码对应的john用户来登录后台，后台是之前爆破出来的

• 登录后台：
  
• 成功登录，这里在仔细查找过大部分的功能后，发现上传点
• 直接上传php文件，反弹shell
• 

其他方法：

直接使用weevely生成后门代码，然后上传，在通过指令连接，获得shell

这里还有其他方法，例如msf执行，还有mysql写入文件执行，均可达到获取shell的效果

提权

• 这里可以看出内核信息

• 查询searchsploit Linux Kernel 4.4.x ，拉取到本地，然后就是上传，执行

• 

• 最后成功获取到root权限

• 

另外使用别的方法提权：

这里通过脚本执行，获取到：PermitEmptyPasswords yes，并且在home目录下还存在大量用户名
可以通过对ssh用户名的爆破来获取密码，这里可以使用hydra
爆破发现JZQuyIN5，对应的账户为：peter
而使用这个密码，发现在peter用户的SUDO中存在all；all；all权限，那么直接可以使用SUDO提取方式，也能成功

至此打靶成功，获得root权限！