今人不见古时月,今月曾经照古人。 ——苏轼《把酒问月.故人贾淳令予问之》
一、信息收集
在不知道主机IP的情况下,我们先进行主机发现,此次我们使用的主机发现工具是:nmap
排除掉我们的网关地址、DNS地址和kali地址后,剩下的248的IP就显然是我们的目标主机了,然后我们使用nmap继续进行端口扫描:
访问目标靶机的80端口,发现进行DNS解析,所以先将IP添加到host文件,再访问http://wordy
根据wappalyzer收集到的信息显示,目标靶机使用的CMS是wordprss.
二、外围打点
根据作者的提示,我们可能需要进行爆破:
先使用wpscan爆破一波用户名wpscan -e --url http://wordy成功获得5个用户名:
根据提示制作密码字典,并依次使用这五个用户名来进行爆破:
限于wpscan爆破速度太慢,所以我们直接使用brpsuite来抓包爆破,成功得到账户密码:mark/helpdesk01:
使用破解得到的账户密码进行登录,成功进入后台,但是是一个低权限账号,只能查看信息等,不能像管理员账号那样修改文件内容。
通过后台我们发现,目标靶机使用了Activity monitor插件。可能存在插件漏洞。在kali中进行搜索,得到信息如下:
通过搜索到的信息显示,该插件存在命令注入漏洞,我们把文件下载下来查看,其中两个地方需要修改,1是我们的目标靶机ip,另外一个是我们要执行的命令:
然后我们直接在kali上监听端口,并使用浏览器打开我们的漏洞利用文件,成功获取到一个低权限的shell:
三、权限提升
已经get到普通权限的我们。当然是不能忘了提权的步骤了,先进去home目录下,发现几个用户,进入我们的mark目录下,在stuff目录下发现txt文件:
发现新增了一个用户 graham,切换到该用户下,老规矩SUID文件和SUDO提权试一波,结果发现一个可以免密码执行的sh脚本:
查看该脚本 内容,发现是一个解压备份文件的脚本,并且graham用户具有修改权限:
那我们就修改一下这个脚本的内容,让我们以jens的身份执行命令:
在成功get到jens用户的权限的情况下,我们发现还是一个比较低的权限,还得进行提权。
使用sudo -l 发现nmap命令可以被我们以root权限执行,nice!!!
通过问度娘知道,nmap提权有两种方式,第一种方式需要具有SUID 权限,第二种方式需要nmap能够一root运行,显然就是第二种了。
按照操作步骤,成功的get到了root权限,cheers!
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
