前言
靶机地址:https://www.vulnhub.com/entry/pentester-lab-cve-2008-1930-wordpress-25-cookie-integrity-protection-vulnerability,73/
靶机简介
一、前期扫描
1.靶机ip扫描
arp-scan -interface=eth1 --localnet
2.靶机服务扫描
nmap -A 192.168.7.168 -p-
3.网站目录扫描
gobuster dir -u http://192.168.7.168/ -w dict/raft-large-directories.txt -x php,html,txt,bak
根据目前获取的信息,猜测该靶机是基于wordpress中间件的漏洞的靶机
二、中间件漏洞利用
访问网站发现跳转需要绑定域名,绑定后重新访问出现wordpress首页页面
确认后用wpscan进行中间件漏扫并枚举用户
wpscan --url http://vulnerable/ -e u --api-token A9Pm17rh32a0Th82XHXAhy9IjlohqzhH6OSjIbBOoqo
扫描扫到了不少漏洞并枚举出admin用户,这里就用靶机名的漏洞cve-2008-1930来进行突破
cve-2008-1930是wordpress的 Cookie完整性保护漏洞,其漏洞原因是后台对cookie的校验机制不完善导致了用户可以通过混淆cookie值来达到越权操作。具体实现方法是创建admin1账户并登录后,修改其cookie值将admin1改为admin并在cookie的第二部分开头添加1即可越权到admin用户。
漏洞的详解可以看这个视频:https://www.youtube.com/watch?v=s7B6CcOhj0Q
那么,根据其漏洞验证流程,我们需要先去注册一个admin1用户
注册后提示发送了验证邮件,但这是靶机环境没办法收到,便去看了下靶机的官方wp,里面说修改了配置,注册后无需激活,默认密码为pentesterlab
靶机官方wp地址:https://pentesterlab.com/exercises/cve-2008-1930
登入admin1用户,看看cookie
把cookie值进行修改,这里注意%7C是分隔符,所以修改admin1为admin后在第一个%7C后添加一个1即可
修改后刷新即可看到成功越权到admin用户
在design里面的theme editor里选中404.php
修改其内容为反弹shell,然后攻击机监听后访问http://vulnerable/wp-content/themes/default/404.php
三、后渗透提权
因为没有python没办法进入交互式,先看下存在的用户
可以看到存在Debian Live User用户user,Debian Live User默认用户即是user,默认密码为live。由于没有交互式不能su,我们通过ssh进行连接,并用默认密码live成功登录
sudo -l可以看到允许sudo所有命令,sudo -i即可提权到root