00 文章背景
某天,突然基友群发了个东西,一问说是网上别人发的,不知道哪个公司的一个技能考核的靶机环境:
这个思路,应该是自己总结的。这里可以选择不看这个总结的思路,自己根据IP去测一测。那么,这个只提供了一个IP地址,我们按照正常流程来操作就完了,先进行信息收集。
既然是某个公司的面试环境,咱们这边还是码一下吧,大家主要看思路得了,感觉扩散的话不是很好。
01 端口扫描
工具扫描或者测绘搜索都行,既然这是个公网IP,我这边就直接先测绘搜一下,FOFA开搜:
起手就有一个9443端口,访问一下发现是个Wordpress。那前台是没什么洞的,除非插件导致,但是这一看就没装什么插件:
为了防止测绘漏掉什么端口,这边用Fscan再扫一个全端口。果然扫出来一个13306端口,其实就算没有识别出指纹,我们也能猜出来这是个Mysql:
02 目录/备份文件扫描
为了节省时间,在Fscan扫描全端口的期间,我这边再同时开了两个工具,扫描目录和备份文件。一个基于专门扫描备份文件的字典,一个是基于扫描目录字典:
目录这边扫到一个info.php,其他都是些WP的常规路径:
这个info.php简单看一下,可以看到禁了很多执行命令的函数,这意味着我们Getshell之后,大概率还要想办法绕过,以此来执行命令:
我们再看看另外一边,备份文件扫描到一个压缩包,单看文件名来看的话,估计是个网站源码的备份文件:
我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
03 压缩包爆破
打开一看要密码才能看……6,我就知道没这么简单:
那么现在,我们就要尝试爆破压缩包密码。这边推荐大家使用基于Hash爆破的工具,因为速度会更快。不过我们首先需要一个足够大的字典,下载地址如下:
https://download.weakpass.com/wordlists/1949/weakpass_3p.7z
解压完之后,那么这是相当的可以:
下面这个,也是一个用于哈希密码爆破的工具。当然你也可以用hashcat,这两个工具各有千秋,简单来说的话,Hashcat在运行时更偏向于GPU,而John运行时更偏向于CPU,具体的区别大家可以自行搜索:
https://www.openwall.com/john/k/john-1.9.0-jumbo-1-win64.zip
在下载后,John里面有很多的运行程序,比如下面这个:zip2john,就是用于解析获取压缩包文件哈希值的:
运行zip2john,解析并获取压缩包文件哈希:
zip2john.exe webbak.zip > webbak.hashes
那么现在,我们会得到一个包含压缩包哈希的文件:
接着,我们使用John调用字典,并指定hash文件进行爆破,只用了两分半钟我便得到了明文,速度还是非常客观的:
john --wordlist=B:\字典\weakpass_3p\weakpass_3p webbak.hashes
看解压密码对不对,OK没问题,拿到数据库密码:
04 连接数据库
先连接一手数据库,看用户表里面怎么个事:
这密码是个加密的,目前两个思路:一个就是爆破、另一个是直接替换,但是不管怎么样,我们要先获得密文的加密类型,在hashcat wiki里面有针对密文类型的记录:
https://hashcat.net/wiki/doku.php?id=example%20hashes
搜索WordPress可以直接定位到对应的序号位置,而且我们可以看到每个加密类型后面都有一个默认的密文,那明文是什么呢?
我们直接看最后一个类型,其说明了对于提供的密文,对应的明文均是:hashcat
这边我们直接替换原密文,改为hashcat提供的密文(如果是攻防当中,我们改了密文的话,登录系统后记得改回原密文。一般是不能进行更改的,如果迫不得已更改的话,务必记得保存原密文,更改后复原):
OK啊,现在后台是进了,但是弹了个没权限:
我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
05 后台IP绕过
估计需要绕过IP,没看见哪有IP啊,只能看数据库了。然后在某个表里发现了有个IP,使用XFF添加此IP尝试刷新后台看看怎么事:
直接用XFF插件,加一个表里的IP尝试:
OK没毛病,进来了:
06 插件上传GetShell
进了Wordpress后台那么我们就可以很轻易的GetShell,而且拿Shell的方法很多。我这边利用插件来传马,在本地将你的xxx.php压缩为.zip的包:
然后直接在插件处进行上传,报错不用管它:
上传后就会被解压,现在应该已经被解压了,路径为:
/wp-content/upgrade/压缩包名/原木马名
比如我的是压缩包是zzg.zip,马子是zzg.php,那么路径为:
/wp-content/upgrade/zzg/zzg.php
这是Wordpress后台上马最快、步骤最简单的一种方式,但是如果别人也用这个方式操作后,你的文件夹会直接被覆盖。如果是在比赛的话,连上马之后,赶紧将马子在别的路径下放一个。
07 读取flag并解密hash
理论上,根据它的设计来说,应该需要绕过disable_functions进行命令执行的,但是哥斯拉直接执行了,那就不必绕过了。我朋友用的蚁剑,是无法直接执行命令的:
密文:90cc3c4e6***********5326e0ad:CB**25
这里要知道是什么格式类型才能更好的使用hashcat进行爆破,经过一系列的操作后,得知使用的是md5(md5($pass) . $salt)这个加密格式,而dz则是指discuz:
Hashcat爆破
在hashcat里面对应的密文类型编号是:2611
具体为什么呢,我不是很清楚,在算法这一块我确实真不是特别会。接下来,使用hashcat爆破的话,指定hash内容和字典进行爆破即可:
https://github.com/brannondorsey/naive-hashcat/releases/download/data/rockyou.txt
hashcat -m 2611 90cc3c4e6**************5326e0ad:C**G25 rockyou.txt
我焯,CMD5
然后,我得知了一个更快的方式:
然后我试了一下,cmd5会根据密文识别可能得加密类型。然后直接点点点点,切换密文类型进行尝试,如果cmd5有记录的话,可以直接解开(开始没试cmd5,又是自闭的一天):
然后切到了对应且正确的加密类型,解出来了,6:
网络安全学习资源分享:
给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,请看下方扫描即可前往获取
👉1.成长路线图&学习规划👈
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
👉2.网安入门到进阶视频教程👈
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程扫描领取哈)
👉3.SRC&黑客文档👈
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦! (全套教程扫描领取哈)
👉4.护网行动资料👈
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
👉5.黑客必读书单👈
👉6.网络安全岗面试题合集👈
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
