1、扫描局域网IP
2、扫描靶机开放的端口
3、访问Web服务
扫描网站目录
找到一个博客,接着进行目录扫描
可以发现是一个wordpress站点,因此我们使用wpscan进行扫描网站
wpscan --url http://192.168.0.105/tsweb/wp-admin -e u
我们首先从登录页面爬取用户名
对网站整体扫描
发现一个插件,我们可以网上搜索是否含有漏洞
WordPress是一款用于建立出色网站、博客或应用的开源软件,采用PHP和MySQL开发而成,具有丰富的插件和模版,GraceMedia Media Player是其中一款直接添加媒体播放器到网站的插件。
该漏洞与受影响版本中存在本地文件包含漏洞有关,是由于未对/gracemedia-media-player/templates/files/ajax_controller.php文件内require_once($_GET['cfg'])语句中的cfg参数进行合理的校验有关,远程攻击者可利用该漏洞读取/etc/passw等等配置文件的敏感信息。
构建格式为:
/wordpress/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../etc/passwd
可以发现一个flag用户,我们使用John进行破解密码
解出:flag:topsercret我们尝试先用ssh登录
ssh可以登录成功,接着我们查找敏感信息
首先我们进行rbash提权,这里网上搜索rbash提权,发现可以使用python进行提权
python -c 'import pty;pty.spawn("/bin/bash")'
可以看见我们提权成功,接着我们首先去flag的家目录看看
发现一个新用户rhoit,但是我们没有权限进行查看,因此我们需要继续查找有关内容,先去网站目录中查找
成功在/var下面的backups中找到rohit的密码,进行解密
我们进行切换用户可以了解密码为!%hack41
3、进行提权
rohit可以进行sudo提权,因此我们直接sudo su就成功了