攻击机192.168.223.128
目标机192.168.223.144
主机发现
nmap -sP 192.168.223.0/24
端口扫描
nmap -sV -A -p- 192.168.223.144
开启了22 80端口
看一下web界面,是一张图片
源码没东西,robots.txt也没东西
就一张图片,感觉可能会有隐写,保存在桌面
binwalk分离不出东西,steghide也没有密码,先算了。。。
扫一下目录
dirsearch -u 192.168.223.144
看目录应该是wordpress服务,看一下blog界面
有个notice,说是我们将为了安全删除一些没使用的插件,猜测是插件有漏洞
wpscan --url http://192.168.223.144/blog --plugins-detection aggressive
这个wp-file-manager 6.0不是最新版本,可能会有漏洞,搜一下
searchsploit file-manager
6.9有个漏洞,试一下
成功执行了rce
但是现在shell反弹不过去,有点不知所措,可能是因为执行完一条指令,会话就被终止了。
去metasploite看看有没有exp
看一下options
配置lhost rhost就行
后来拿到shell
在 hagrid98里面看到一个txt文件,里面是个base64加密,解一下
这应该就是第一个flag
现在想想如何提权
先切换到shell,再换到交互shell
shell
python3 -c 'import pty; pty.spawn("/bin/bash")'
sudo不能用,好像也没有什么提权的suid文件
想到这个是个wp框架,一般数据库账号密码在配置文件里
先找一下配置文件在哪,wp配置文件名字是wp-config.php
find / -name wp-config.php 2>/dev/null
里面没有看到账号密码,但是包含了一个文件
去看看这个默认配置文件
里面有数据库账号密码
连接一下
mysql -u root -p
找到了hagrid98用户的密码
这个hash应该用john可以爆破出来
我这里为了方便用了在线解md5
得到密码是password123,su到hagrid98这个用户
看一下如何提权到root
没什么
猜测备份文件有东西
有个.backup.sh很可疑,貌似在哪见过
意识是把 前面这个文件复制到后面的目录里
之前dc系列好像也有一个这个东西,是个定时任务
那么在里面写入一个反弹shell,任务执行的时候应该就能拿到root shell
攻击机开个监听端口,然后等就行了。
扫一扫
3379
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
