某公司的渗透技能考核靶场通关记录

文章作者：先知社区（消失的猪猪）

文章来源：https://xz.aliyun.com/news/17680

1►

背景介绍

某天，突然基友群发了个东西，一问说是网上别人发的，不知道哪个公司的一个技能考核的靶机环境：

这个思路，应该是自己总结的。这里可以选择不看这个总结的思路，自己根据IP去测一测。那么，这个只提供了一个IP地址，我们按照正常流程来操作就完了，先进行信息收集。

既然是某个公司的面试环境，咱们这边还是码一下吧，大家主要看思路得了，感觉扩散的话不是很好。

2►

考核测试记录

0x01 端口扫描

工具扫描或者测绘搜索都行，既然这是个公网IP，我这边就直接先测绘搜一下，FOFA开搜：

起手就有一个9443端口，访问一下发现是个Wordpress。那前台是没什么洞的，除非插件导致，但是这一看就没装什么插件：

 为了防止测绘漏掉什么端口，这边用Fscan再扫一个全端口。果然扫出来一个13306端口，其实就算没有识别出指纹，我们也能猜出来这是个Mysql：

0x02 目录/备份文件扫描

为了节省时间，在Fscan扫描全端口的期间，我这边再同时开了两个工具，扫描目录和备份文件。一个基于专门扫描备份文件的字典，一个是基于扫描目录字典：

目录这边扫到一个info.php，其他都是些WP的常规路径：

这个info.php简单看一下，可以看到禁了很多执行命令的函数，这意味着我们Getshell之后，大概率还要想办法绕过，以此来执行命令：

我们再看看另外一边，备份文件扫描到一个压缩包，单看文件名来看的话，估计是个网站源码的备份文件：

0x03 压缩包爆破

打开一看要密码才能看……6，我就知道没这么简单：

那么现在，我们就要尝试爆破压缩包密码。这边推荐大家使用基于Hash爆破的工具，因为速度会更快。不过我们首先需要一个足够大的字典，下载地址如下：

https://download.weakpass.com/wordlists/1949/weakpass_3p.7z

解压完之后，那么这是相当的可以：

下面这个，也是一个用于哈希密码爆破的工具。当然你也可以用hashcat，这两个工具各有千秋，简单来说的话，Hashcat在运行时更偏向于GPU，而John运行时更偏向于CPU，具体的区别大家可以自行搜索：

https://www.openwall.com/john/k/john-1.9.0-jumbo-1-win64.zip

在下载后，John里面有很多的运行程序，比如下面这个：zip2john，就是用于解析获取压缩包文件哈希值的：

运行zip2john，解析并获取压缩包文件哈希：

zip2john.exe webbak.zip > webbak.hashes

那么现在，我们会得到一个包含压缩包哈希的文件：

接着，我们使用John调用字典，并指定hash文件进行爆破，只用了两分半钟我便得到了明文，速度还是非常客观的：

john --wordlist=B:\字典\weakpass_3p\weakpass_3p webbak.hashes

看解压密码对不对，OK没问题，拿到数据库密码：

0x04 连接数据库

先连接一手数据库，看用户表里面怎么个事：

这密码是个加密的，目前两个思路：一个就是爆破、另一个是直接替换，但是不管怎么样，我们要先获得密文的加密类型，在hashcat wiki里面有针对密文类型的记录：

https://hashcat.net/wiki/doku.php?id=example%20hashes

搜索WordPress可以直接定位到对应的序号位置，而且我们可以看到每个加密类型后面都有一个默认的密文，那明文是什么呢？

我们直接看最后一个类型，其说明了对于提供的密文，对应的明文均是：hashcat

这边我们直接替换原密文，改为hashcat提供的密文（如果是攻防当中，我们改了密文的话，登录系统后记得改回原密文。一般是不能进行更改的，如果迫不得已更改的话，务必记得保存原密文，更改后复原）：

OK啊，现在后台是进了，但是弹了个没权限：

0x05 后台IP绕过

估计需要绕过IP，没看见哪有IP啊，只能看数据库了。然后在某个表里发现了有个IP，使用XFF添加此IP尝试刷新后台看看怎么事：

直接用XFF插件，加一个表里的IP尝试：

OK没毛病，进来了：

 

0x06 插件上传GetShell

进了Wordpress后台那么我们就可以很轻易的GetShell，而且拿Shell的方法很多。我这边利用插件来传马，在本地将你的xxx.php压缩为.zip的包：

然后直接在插件处进行上传，报错不用管它：

上传后就会被解压，现在应该已经被解压了，路径为：

/wp-content/upgrade/压缩包名/原木马名

比如我的是压缩包是zzg.zip，马子是zzg.php，那么路径为：

/wp-content/upgrade/zzg/zzg.php

这是Wordpress后台上马最快、步骤最简单的一种方式，但是如果别人也用这个方式操作后，你的文件夹会直接被覆盖。如果是在比赛的话，连上马之后，赶紧将马子在别的路径下放一个。

0x07 读取flag并解密hash

理论上，根据它的设计来说，应该需要绕过disable_functions进行命令执行的，但是哥斯拉直接执行了，那就不必绕过了。我朋友用的蚁剑，是无法直接执行命令的：

密文：90cc3c4e6***********5326e0ad:CB**25

这里要知道是什么格式类型才能更好的使用hashcat进行爆破，经过一系列的操作后，得知使用的是md5(md5($pass) . $salt)这个加密格式，而dz则是指discuz：

Hashcat爆破

在hashcat里面对应的密文类型编号是：2611

具体为什么呢，我不是很清楚，在算法这一块我确实真不是特别会。接下来，使用hashcat爆破的话，指定hash内容和字典进行爆破即可：

https://github.com/brannondorsey/naive-hashcat/releases/download/data/rockyou.txt

hashcat -m 2611 90cc3c4e6**************5326e0ad:C**G25 rockyou.txt

我焯，CMD5

然后，我得知了一个更快的方式：

然后我试了一下，cmd5会根据密文识别可能得加密类型。然后直接点点点点，切换密文类型进行尝试，如果cmd5有记录的话，可以直接解开（开始没试cmd5，又是自闭的一天）：

然后切到了对应且正确的加密类型，解出来了，6：

显然，算法这一块也是一个很重要的东西，不说那啥吧，咱们高低还是得有一个比较深入的了解。

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END