Quaoar靶机渗透过程

准备环境

攻击机：Kali-Linux-2021.2
目标靶机：Quaoar
平台：VMware Workstation 16
均为桥接模式（自动）

官方说明：此题有3个flag值

一、信息搜集

1.主机嗅探

Quaoar启动完成，已经显示IP

2.端口扫描

在Kali里执行端口扫描命令

nmap -A -p- 172.46.234.144

可以发现靶机开放了很多端口，但这次只需要用到其中的80端口和22端口

3.查看web服务

主页面

点击之后跳转

二、漏洞挖掘

1.目录扫描

没发现任何特别的信息，进行目录扫描

dirsearch -u http://172.46.234.144/          

可以得知其安装了wordpress，先对其robots.txt进行查看

2.wordpress扫描

对其wordpress进行扫描

wpscan --url http://172.46.234.144/wordpress --wp-content-dir wp-content --enumerate u

三、漏洞利用

1.弱口令爆破及登录

扫出有两个用户：admin和wpuser，通过弱口令爆破出用户名:amdin，密码：admin，访问其wp后台登陆页面并以admin登录

2.植入shell

在wp后台，可以在Appearance板块中对各部分页面进行编辑，按照其他博主所说，尝试在index.php和404.php中植入一句话木马，但此方法不可行，植入反弹shell，本人技术不达标，我用曲线救国的方式，再次对wordpress目录进行扫描

dirsearch -u http://172.46.234.144/wordpress/

http://172.46.234.144/wordpress/wp-content/plugins/akismet/akismet.php

我发现了这个akismet.php文件，哦我们可以通过对此进行修改，从而拿到正向shell，该php文件是akismet插件的，我们进入插件管理界面

对akismet插件进行编辑

将插件原有的内容全部删除，植入一句话木马，并保存

3.连接shell

使用中国蚁剑或者中国菜刀进行连接

此时，已经拿到该服务器的webshell

文件/var/www/wordpress/wp-config.php是wp程序的配置文件，查看时候发现root用户名和密码

4.SSH连接

回到kali，进行ssh连接

ssh root@172.46.234.144
yes
rootpassword!

查看root家目录文件列表，可发现第一个flag值：8e3f9ec016e3598c5eec11fd3d73f6fb

ls -lha
cat flag.txt

全盘查找flag.txt文件，发现在/home/wpadmin下还有一个flag.txt

fing / -name 'flag.txt'

查看/home/wpadmin/flag.txt，可拿到第二个flag值：2bafe61f03117ac66a73c3c514de796e

cat /home/wpadmin/flag.txt

还有最后一个flag值我属实不知道藏哪了，看了官方的wp，说是在/etc/cron.d/php.5中

cat /etc/cron.d/php5

于是轻易拿到最后一个flag值：d46795f84148fd338603d0d6a9dbf8de

目标靶机已完成渗透