广诚市的潜袭者们-新手村随机渗透试炼

作为一个刚进入广诚市这个虚拟城市的红队选手，让我紧张的发慌，我是编号58号潜袭者。

一般入营都需要做一下拓展训练，我们也不意外，潜袭者每次只招收10人作为新一期预备选手，每季度才招一次，很荣幸地我被抽选到了，一般新人试炼在1个月左右的淘汰机制。队长在破冰过程中向我们介绍接下来的任务。试炼分为新手村、内网渗透、协同作战三个科目。通过三个科目淘汰7人，剩下的人员可以进入潜袭者替补队员中去。

我们这期已经是第六期试炼选手了，希望能通过这次试炼。

本次靶标广诚市的一些中小企业，近几年中小企业时常遭受不明黑客攻击。所以本次在所有中小企业名单中随机抽取靶标进行渗透。

目标：获取靶标Webshell权限

备注：攻击路径上并不做任何限制。

时间：不做限定

计分：前八名通过每名选手积一分，后两名不计分。

随机抽取后发现我的靶标是

https://conceito.guangchengshi.com/

（实际虚拟诚市中是有自己的dns根服务器，这里只是做个表示）

一个看起来像是购物类的网站。

开始渗透主要还是要做一些信息收集，正常猜猜目录、找找有价值的信息。

访问爬虫文件Robots.txt，尝试从服务器中抓取到敏感目录，方法：直接在网站url后面加上“/robots.txt”即可。

从上图可以看出，使用robots协议抓取的目录中，没有发现带有admin、require等敏感字样的目录，所以暂时放弃。

回到目标网站：https://conceito.guangchengshi.com/，点击login，跳转到登陆页面，如下图所示：

在登陆页面，需要填写用户名、密码，也可以点击注册、找回密码，这些功能点与WordPress的框架结构很像，所以接下来尝试判断是否真的是wordpress系统。

回到靶标网站：https://conceito.guangchengshi.com/，在网站url后面尝试输入“/wp-login.php”看能否进入到该网站的后台登陆入口,经过尝试，发现直接跳转到了该网站的后台登录入口，如下图所示：

漏洞扫描一般都是使用wpscan工具先过一遍，我们也不例外。

在命令行输入：“wpscan --url 网站地址 -e u”来获取登录该网站的用户名信息。

wpscan --url https://conceito.guangchengshi.com/ -e u

扫描结束后，我们可以通过扫描结果看到WordPress的版本为5.1.1，另一个非常有用的信息是，扫描到了两个拥有权限的用户:admin和sergio，如下图所示：

在命令行输入：“wpscan --url 网站地址 -e vp”来获取该网站可能存在漏洞的插件。

 wpscan --url https://conceito.guangchengshi.com/ -e vp

通过扫描发现“no plugins found”没有发现存在漏洞的插件，所以插件这条路只能终止，如下图所示：

在命令行输入：“wpscan --url 网站地址 -e t”来获取该网站可能使用到的模板主题。

wpscan --url https://conceito.guangchengshi.com/ -e t

在命令行输入：“wpscan --url 网站地址 -e vt”来获取该网站可能存在的主题模板漏洞。

wpscan --url https://conceito.guangchengshi.com/ -e vt

通过扫描发现“no themes found”没有发现存在漏洞的主题模板，所以主题模板漏洞这条路只能终止。

时间一分一秒的过，这次新手村任务是不做后两名，那么我们的策略肯定是以最简单的方法拿到权限。

依旧使用wpscan工具，在命令输入“wpscan --help”命令，查找暴力破解密码的方式，如下图所示：

在帮助信息中，暴力破解密码的方式有三种，分别为：wp-login、xmlrpc、xmlrpc-multicall三种。

在使用wpscan进行漏洞扫描的时候，发现每次扫描，系统都会默认对首页、robots、smlrpc等进行扫描，如下图所示：

所以以此为依据判断此系统可能存在在xmlrpc的批量暴力破解漏洞，首先使用xmlrpc方式进行密码的暴力破解。

在密码暴力破解之前，需要准备一个常用的密码字典，本文的密码字典名称为wp.txt，存放路径为/usr/share/wordlists/，如下图所示：

一切准备好后，在命令行输入：“wpscan --url 网站地址 -e u --password-attack xmlrpc --passwords 密码字典”，使用xmlrpc方式暴力破解密码。

wpscan --url https://conceito.guangchengshi.com/ -e u --password-attack xmlrpc --passwords /usr/share/wordlists/wp.txt

通过扫描发现“no valid passwords found”没有发现弱口令（查看上面回显信息判断xmlrpc漏洞已经被修补了），所以xmlrpc方式只能暂时放弃，如下图所示：

既然字典已经准备好了，不是还有其他方式的暴力破解吗，继续！

继续密码字典，然后更换wp-login的方式进行密码的暴力破解。在命令行输入：“wpscan --url 网站地址 -e u --password-attack wp-login --passwords 密码字典”。

wpscan --url https://conceito.guangchengshi.com/ -e u --password-attack wp-login --passwords /usr/share/wordlists/wp.txt

通过扫描结果，发现猜测到了admin用户的用户密码：admin/admin@123，如下图所示：

运气很好破解到管理员账号为常见弱口令。离拿到权限很近了，加快速度。

拿到了口令肯定就是迫不及待的登陆后台了。

使用暴力破解的用户密码：admin/admin@123，登陆该网站后台，如下图所示：

在登录成功的页面，发现有一个WP的文件管理功能“WP File Manger”

查看提前准备好的一句话木马文件，存放路径为/usr/share/webshell/，文件名称为ant.php，文件内容为：“”。

在“WP File Manger”页面的空白处，右键-选择Upload Files，如下图所示：

在弹出的页面中，点击“Select files-选择ant.php一句话木马文件-点击打开”，在“WP File Manger”页面即可看到上传的一句话木马文件。如下图所示：

首先打开中国蚁剑，双击 AntSword.exe，即可打开中国蚁剑，如下图所示：

在空白处右键-点击添加数据，如下图所示：

在打开的添加数据页面，填写URL地址、连接密码：

URL地址：

https://conceito.guangchengshi.com/wp-content/ant.php；

连接密码：此处填写ant；

如下图所示：

填写完成后，点击添加，即可在页面的右下角看到“添加数据成功”的提示信息，如下图所示：

双击新添加的url站点地址，如果跳转到wp-content界面，即表示webshell获取成功，如下图所示：

至此拿到了靶标Webshell权限。

拿下靶标后查看了自己的时间定格在37分21秒。从靶标难度来说比较简单，但是前面10分钟搞定的都是什么鬼，10分钟我连扫描都没扫完呢。

后来一起讨论才发现所有人均随机分配，难度是有差距的并且有的靶标从设计之初就没设计漏洞。所以才不限制攻击路径，甚至靶标中的每个人员角色都可以跟你互动，包括网站管理员、服务器管理员，托管商啥的，甚至里面的评论都可以追溯到广诚市中的人员。

结束后跟潜袭者50号聊天，他说他搞的靶标就没什么漏洞，他用了5个小时后放弃了渗透。

特快专递 由 Agri Karuniawan绘制

广诚市保卫者

在平行世界的另一头“广诚市”上演着一幕幕黑客围城。

长按二维码关注

发现“分享”和“赞”了吗，戳我看看吧