Vulnhub-靶机-STAPLER: 1

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站，需要发现目标靶机的IP地址，可以使用nmap，netdiscover，或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的，那么本次演示就是arp-scan工具发现；

地址:https://www.vulnhub.com/entry/stapler-1,150/

sudo nmap -n -p- -sC -sV -T5 -Pn -oN stapler.nmap 192.168.202.15

nmap扫描结果

开放的端口还是很多的，从前面一个一个来，探测到目标靶机开放了21端口并且允许匿名登录，登录上去看看

看到一个文件note 下载下来看到如上信息，得到两个用户名john和elly先放着，继续下面的端口，22端口就先放着，使用gobuster爆破了下目标靶机的目录没发现什么有价值的信息，然后使用nikto扫描了下，发现了两个敏感文件

使用wget下载下来，发现并没有什么作用，继续向下看发现了Samba服务，我们使用命令枚举下信息

enum4linux 192.168.202.15 | tee staplersmb.txt

上述发现了一些目标靶机存在的用户名和哪些共享是可以直接访问的，所以根据上述信息直接登录目标smb

将在smb里面的文件都下载下来，翻看了一遍还没发现有价值的信息，直接看开启web应用的端口

使用nikto进行扫描下，此时发现重要的信息，具体看下图标记

根据上述的信息，可以知道目标开启了https访问形式，因为有加载证书，且暴露出来了3个重要的目录/admin112233/ , /blogblog/ , /phpmyadmin/ 经常访问测试除了admin112233访问会跳转之外，其他都正常访问，我们先看看blogblog这个URI，访问的页面如下

页面显示的信息是WordPress程序，但是不知道什么版本，我们看看网页源代码是否有提示

知道了版本之后先用wpscan扫扫存在的用户

识别出了目标靶机存在的用户，由于我的kali没有配置关于wpscan的漏洞识别api接口信息，所以扫不出来漏洞，这里获取目标存在一处LFI漏洞对应exp信息：https://www.exploit-db.com/exploits/39646 在本地kali搜索如下

尝试读取目标WordPress的配置文件，构造最终exp

https://192.168.202.15:12380/blogblog/wp-admin/admin-ajax.php?action=ave_publishPost&title=random&short=1&term=1&thumb=../wp-config.php

访问成功后，页面会显示一段URL，访问之后会跳转至 https://192.168.202.15:12380/blogblog/wp-content/uploads/ 在此URL中找到刚才生成的图片文件即可，然后将其下载下来

wget --no-check-certificate https://192.168.202.15:12380/blogblog/wp-content/uploads/432005794.jpeg 也可有使用curl下载重定向
curl -k https://192.168.202.15:12380/blogblog/wp-content/uploads/432005794.jpeg > bmfx.jpeg

知道数据库的账号和密码之后直接命令行登录数据库找到目标靶机的数据库-表-用户字段

将上面的所有信息复制粘贴到文本users.txt中然后使用awk从中提取用户名和密码

使用john开始破解账号密码，字典使用rockyou，最终得出用户john的密码是incorrect 登录进去之后直接在上传插件的位置上传php反弹shell，然后访问https://192.168.202.15:12380/blogblog/wp-content/uploads/ 会发现此处便是刚刚上传的shell文件，本地监听端口访问之即可反弹shell