一、靶机地址
目前在vulunhub官方找不到这个介绍页面了。
百度找到的下载链接:https://download.vulnhub.com/admx/AdmX_new.7z
二、信息收集
1.nmap端口扫描发现80端口
2.80端口是apache默认页面
3.用御剑进行后台扫描,发现wordpress路径
4.首页发现有乱码
5.既然是wordpress页面,则使用wp-scan进行扫描,发现存在xmlrpc页面
6.burpsuit上看,发现存在一些链接指向了不存在的地址,估计是后台写死了,导致前端乱码,使用BP的替换功能,替换成靶机正常地址即可。
三、渗透阶段
- 尝试看xmlrpc开了什么功能,发现开了getuserblogs。
- 欢迎页面是有admin用户的,尝试爆破admin
- 爆破admin用户,得到密码adam14,登录成功之后进到后台
- 摸了一圈,可利用的点不多,后面通过插件页面,在官方插件中加入哥斯拉的webshell,上传webshell成功。
上传的webshell。
获取webshell成功,www-data权限
- 用bash反弹shell的方法,反弹不成功,目标系统用的是dash,于是用msfvemon生成linux后门,获取shell权限。
- 查看/etc/passwd文件,发现wpadmin用户,尝试用web前段adam14的密码进行登陆,登陆成功,切换到系统用户。
四、提权阶段
- sudo -l 发现执行mysql -u 命令不需要root密码
- 用linux提权辅助脚本看了下,也没什么好提权的点,重点还是在速冻提权上
- 用python获取一个友好的shell界面
**python3 -c'importpty; pty.spawn("/bin/bash")'**
- 用adam14这个密码sudo mysql登陆数据库,可使用root权限执行命令。
- 获取flag