探索RedRocks vulnhub靶场

重置靶场网卡

打开靶场会出现扫描不到ip的情况，开机按shift进入恢复模式，第一次选第二个按enter，第二次选第二个按e

修改ro内容并ctrl+x保存

这次不是/etc/network/interfaces出问题，要进入/etc/netplan，修改00-installer-config.yaml文件，修改为以下内容，可使用命令nano 00-installer-config.yaml，保存后重启就可以访问到了

信息收集

获得它的ip后（arp-scan扫描），nmap扫描

访问后发现好多页面跳转到不知名的地方，但是都带有redrocks.win，直觉告诉我是dns要自己配。于是打开c:/windows/system32/drivers/etc/hosts文件，把dns添加进去

这才真正访问到页面

目录爆破

先用dirsearch爆破出目录，出现了好多wordpress的内容，但是访问这些200的页面都是空白，要么就是重定向链接，链接内容都是可以找到的，并没有特殊

漏洞扫描

于是用wpscan一键扫描，找到一个可能存在漏洞的地方，然后链接内容是引导我去使用msfconsole，使用里面的payload，但是经过测试都没有用

重新规划-整理信息

于是回溯到网站页面看看有没有什么可用信息，大致意思是已经被黑了，我们找不到他上传的后门，明显提示我们要去找他的后门在哪儿

访问源码发现提示

搜一下这句话找到了github上的一个字典，哦~

意思是要把它爆破出来

Github上下载项目重新爆破文件

于是我把这个字典给git下来，用dirsearch去跑他的后门名，我看网上的人都用的这个字典/SecLists/Discovery/Web-Content/CommonBackdoors-PHP.fuzz.txt，SecLists是这个项目的名字

知道文件名还不够，还得知道连接他的参数是什么，我看网上的都用的wfuzz去跑，原本是想着看看能不能用dirsearch跑省省事，但是好像不得行，于是我也就按着他的来了，好多字典里面应该都有很多重复的，多跑几次就出来了

因为这里不小心看到他们的答案是key了，然后就直接手搓一个字典拿出来跑了

爆破数据

这个函数并不是命令执行的，测试了几次发现应该是文件包含，因为输入某个存在的文件他直接爆出信息了

先把它本身文件内容弄出来，可以使用../一直跳目录，但是想找到很浪费时间，为省事就用php伪协议文件包含了，有数据还被两次base64加密，其中内容提到了hashcat，说密码没用，后面想到了是告诉我们wp-config.php里面的密码被hashcat加密了

因为是wp嘛，用户数据库信息在wp-config.php里面，刚刚好最开始目录爆破的时候是可以访问到这个文件，但是是白的，于是试着文件包含爆出其内容。

对内容进行解密

在得到用户和密码后对数据解密，将密码写入2.txt，通过hashcat调用best64规则输出到ps.txt，至于为什么用这个规则。。。据目前已知，密码会根据这个规则又生成很多密码，感觉和爆破上大差不大

在ps.txt中又有很多密码，用九头蛇爆破ssh登录，我每次爆破出来的密码都不一样，如果登陆不上ssh就重新爆破

拿到密码登录服务器

输入sudo -l查看该用户是不是在sudo组，这里提示我们ippsec用户是不需要密码登录，调用time命令

接着使用sudo -u ippsec /usr/bin/time /bin/bash切换用户，我们反弹shell，nc监听，靶机输入命令反弹，调用不了bin/bash（用python3解决），而且一下没使用就断连了，后面的都最好直接写好复制粘贴。

发现cat命令和vi命令被调换，很烦，一直界面卡在那里

权限提升

查找下ippsec账户所拥有权限的文件，找到后发现这个文件就是一直提示blue我们的c文件，ls -l查看文件权限，是root权限。既然是定时执行那我们把他换成反弹shell，反弹回来的权限就是root。不能直接修改我们删掉他。

反弹shell源码来自https://www.ddosi.org/shell/，对9999端口监听，等待定时任务开启，但是不知道为什么连了两次都被down了，确实是连上了，然后就断开了

然后重新换了一个网站https://www.revshells.com/，重新生成了c代码，把rev和c文件都删掉了，并且给c文件777权限才成功收到消息

进入defense目录，那些一直搞我们的东西就在这里，定时任务/etc/crontab里面可以看到

或者直接使用命令crontab -l