每周靶机之Beelzebub

这个是工作室的靶机

环境设置

攻击机：kali
靶机：beelzebub

知识点和工具

wpscan (wordpress环境专用的工具 用于爆破用户名或密码)
dirsearch (目录扫描)
md5加密
目录扫描

具体过程

老样子 发现靶机 扫描端口

80端口开着 我们访问看两眼

标准的默认欢迎页面 没什么特别的
用扫描目录的工具dirsearch找找有没有其他目录
dirsearch -u [网址]

在index.php网站内发现隐藏注释

（大意:我的核心被加密了，”beelzebub”不知为何破解并加密了他 -MD5)
说明我们要去的目录与md5加密后的”beelzebub”有联系

于是我们随便找个md5加密/解密网站将beelzebub加密
逐一用dirsearch来寻找正确的目录

最终发现在32位小写加密方式的目录下存在wordpress基站
依次查看 发现wp-content/uploads/下存在文件管理系统

进入Talk To VALAK中
发现在输入任何字段后网页会返回一段名为password的cookie

该密码多半与开放的ssh服务有联系 但用户名未知
我们使用wpscan来爆破该网站的用户名

wpscan -url "[网址]" -e u --ignore-main-redirect --force
-url //指定网址
-e u //爆破用户名
--ignore-main-redirect //忽略主要的重定向
--force //强制执行扫描（这在你确信目标站点是WordPress站点但WPScan未正确检测到的情况下可能会有用）

结果显示有俩用户 分别为krampus与valak
经过尝试发现可以使用password中的密码与krampus登陆ssh服务

进去后发现权限不够 需要提权
查看history //历史记录后发现该账号曾尝试提权

我们复现过程即可

获得root权限 结束！

总结

过程很短的靶机
结合了wordpress与目录扫描
已经不止一次见到wordpress了 用wpscan便可以解决大部分的问题
那么我们下次见