一、明确目标
靶机ip 192.168.119.150
Kali ip 192.168.119.129
二、信息搜集
Nmap 搜集端口信息
访问80端口
使用direarch搜集目录信息
常见状态码
2xx (成功)
表示成功处理了请求的状态码。
200(成功) 服务器已成功处理了请求。通常,这表示服务器提供了请求的网页。如果是对您的 robots.txt 文件显示此状态码,则表示 Googlebot 已成功检索到该文件。
3xx (重定向)要完成请求,需要进一步操作。通常,这些状态码用来重定向。
301(永久移动) 请求的网页已永久移动到新位置。服务器返回此响应(对 GET 或 HEAD 请求的响应)时,会自动将请求者转到新位置。您应使用此代码告诉 Googlebot 某个网页或网站已永久移动到新位置。
302(临时移动) 服务器目前从不同位置的网页响应请求,但请求者应继续使用原有位置来响应以后的请求。此代码与响应 GET 和 HEAD 请求的 301 代码类似,会自动将请求者转到不同的位置,但您不应使用此代码来告诉 Googlebot 某个网页或网站已经移动,因为 Googlebot 会继续抓取原有位置并编制索引。
4xx(请求错误)
这些状态码表示请求可能出错,妨碍了服务器的处理。
400(错误请求) 服务器不理解请求的语法。
403(禁止) 服务器拒绝请求。如果您在 Googlebot 尝试抓取您网站上的有效网页时看到此状态码(您可以在 Google 网站管理员工具诊断下的网络抓取页面上看到此信息),可能是您的服务器或主机拒绝了 Googlebot 访问。
404(未找到)
服务器找不到请求的网页。例如,对于服务器上不存在的网页经常会返回此代码。
405(方法禁用) 禁用请求中指定的方法。
5xx(服务器错误)
这些状态码表示服务器在处理请求时发生内部错误。这些错误可能是服务器本身的错误,而不是请求出错。
500(服务器内部错误) 服务器遇到错误,无法完成请求。
对搜集到的目录 进行逐一访问
http://192.168.119.150/wp-admin/setup-config.php
http://192.168.119.150/wp-admin/install.php
最终还是来到了登录界面
http://192.168.119.150/wp-login.php?
http://192.168.119.150/wp-content/plugins/akismet/akismet.php
翻译 :你好!我只是一个插件,当直接调用时我做不了什么。
这是一个用来查看文件上传后的页面
http://192.168.119.150/wp-content/uploads/
查看更新的文件的页面
http://192.168.119.150/wp-content/upgrade/
http://192.168.119.150/xmlrpc.php 没有能利用的点
翻译:PC服务器只接受POST请求。
三、漏洞验证
来到登录界面
使用弱口令进行登录 不可行
使用wpscan 对用户进行枚举
找到了两个用户 recon 、renauthor.
在对这两个用户进行密码进行破解,只找到了 reconauthor密码 football7 .
http://192.168.119.150/wp-admin/ 利用找到的用户名密码进行登录
找到一个hack.zip
当把这个 hack.zip 下载到本地时 ,火绒杀毒软件直接被杀了
看来这是后门文件,可以执行zip 压缩下的php文件
这里上传不成功
四、漏洞利用
我们换个找找还有没有其他上传点
查找资料发现这里可以进行上传
那我们直接上传一句话木马
保存为 PP.php
选择压缩好的一句话木马文件 PP.zip
选择好PP.zip 文件后 点击upload 进行上传
提示我们 需要上传一个html 文件
那就随便创建一个空的html 文件 和PP.php 一起压缩成test.zip 进行上传
再次上传
可见上传成功了这次显示出了上传后的地址
因为hihi.html 和PP.php 一起上传的位置都是在 test 目录下
尝试蚁剑 进行连接地址 密码为 x
http://192.168.119.150/wp-content/uploads/articulate_uploads/test/PP.php
http://192.168.119.150/wp-content/uploads/
连接后 继续上传大马webshell.php 到uploads /2022/目录下
并且在Kali 端 设置6666 作为监听端口 进行监听
http://192.168.119.150/wp-content/uploads/
访问这个 webshell.php 点击打开 然后观察kali 端 是否接收到
打开这个界面 ,就表示成功访问
Kali 端的监听到后显示
使用python 打开一个终端
$python3 -c ‘import pty;pty.spawn(“/bin/bash”)’
五、权限提升
$cat /etc/passwd 查看所有用户和密码
找到了一个 offensivehack 的用户
$sudo -l 看来offensivehack这个用户拥有gdb的权限 NOPASSWD
sudo -u offensivehack /usr/bin/gdb 切换到 offensivehack 是不需要密码的
找到了user.txt 提示我们寻找root 的flag.txt
通过 id 这个用户发出属于docker 组下
既然有docker 那我们去查看镜像下有什么文件
将root目录进行挂载 操作
挂载到Ubuntu 的 /mnnt目录下
确认当前身份 为root
再去寻找对应挂载后的 mnnt文件
进入到 mnnt 目录下 找到了flag.txt 恭喜完成!!!
总结:
1.使用wpscan 对用户进行枚举 ,然后对其密码进行破解
用户 搜索 wpscan --url 目标ip -e u
密码 搜索 wpscan --url 目标ip -U目标用户 -P (字典)
2.通过找到木马文件上传点 ,使用蚁剑进行连接,上传webshell
成功实现反弹shell。
3.寻找可以提权的方法 /usr/bin/gdb 找到突破口。
4.进行文件挂载,去查看挂载目录下的文件,发现flag。
与复制了上千忍术的我为敌,你毫无胜算 ----卡卡西