友好的靶机,开局直接给出IP
nmap扫一手
访问一下80端口,我直接阿瓦达啃大瓜
御剑扫描目录
发现有个网站,有明显的cms特征,直接百度
找到kali中就有这个wordpress的扫描工具,说明这个漏洞还是挺多的
Wordpress漏洞利用&WPscan使用_OceanSec的博客-CSDN博客
用之前要去官网申请一个api令牌 Sign Up | WPScan
使用如下命令扫描版本、插件漏洞:
wpscan --api-token 04ef57321tBtahsmbfAjuvV6tPlKhosfi7yM9LagwY0 --url=http://192.168.21.52/blog -e vp --plugins-detection aggressive
扫出来几个,去msf里找一下利用模块
经过多次实验,下图这个是可以用的
利用该模块,进入模块后 show options 查一下需要设置什么参数
照着options设置参数
利用成功,
输入以下命令得到一个,交互式界面
/home/hagrid98下找到第一个魂器
一眼base64,解密一下
下一步找到wordpress的配置文件,里面有数据库里的用户名密码
登录MySQL数据库
找到账户信息
md5解密密码
ssh登录该用户
尝试提权,发现没有历史命令,没有sudo,没有找到有用的suid文件
再/opt文件下找到一个隐藏的sh文件
cat查看文件发现它是将上传目录里的东西拷贝到另一个目录里去,推测是定时任务执行
将反弹shell命令写入
成功反弹root权限
验证一下定时任务