主要考察:
1、wpcms渗透技巧
2、Wpcms插件漏洞的使用
3、流量捕获以及分析
4、Linux提权
Vulnhub官网速度感人,朋友给了这个站点,下载比较快点:http://five86.com/five86-2.html
导入到虚拟机里,ip貌似为动态分配,网卡我习惯设置为桥接模式,于是nmap扫出d段,这个不用废话了,也没截图。
找到ip登录主站的时候,去说明前看了看,大概了解,不是那种右键源代码就能获得提示的环境:
咳咳,老脸微微泛红。。谁不想直接登录进去。。
不过既然是wpcms,那我们就用wpscan来看看吧,
扫到几个用户名admin peter stephen barney gillian
Giao!
习惯的去看了看,估计误报不多,看提示要枚举,那就跑跑密码吧
wpscan --url http://192.168.1.119 -U 2.txt -P rklzd.txt -t 40
这里花了一些时间,有些急躁所以忘了截图,但是得到两个用户:barney:spooky1 stephen:apollo1
考虑过自动化,但没什么效果,于是从后台入手:
这里我们在上传文件处试了下,没什么效果,拿google浏览器的翻译撑着一个一个页面看,不过在众多插件中看到有一个眼熟的存在 Insert or Embed articulate content
该插件主要是可以快速的向文章中嵌入自己的学习内容(e-Learing),同时该插件可以直接对zip压缩文件进行处理,文件可以先压缩到zip中再一起上传到服务器中。
我准备了一个后门
压缩为zip格式安装包,在写文章这里添加文件,将压缩好的脚本文件上传 访问http://five86-2/wp-content/uploads/articulate_uploads/shell/test.php压缩包里的文件被成功解压到目标文件夹内
解压目标目录为/wp-content/uploads/articulate_uploads,没有设置任何访问限制,任意用户都可以直接访问,插件接收zip压缩包之后对压缩包文件名进行了过滤,但是对压缩包的内容没有进行过滤,直接解压到了目标文件下 有兴趣可以审计其functions.php文件,处理zip的函数就在这里。
我这里是另外复现时传的一个poc.zip示例。
连接shell,这个权限太低,这个等级的靶场做不了太多事情。
带着这个权限找了很久,
我们先用php弹个shell吧,nc获取到的时候再用python获取个新的bash,不但看起来顺眼,做事也顺利很多。
Python3 -c ‘import pty;pty.spawn(“/bin/bash”)’
Pty模块的spawn方法就不赘述了。
我们nmap扫描结果中;
发现ftp服务是开着的,
ps -auxwww 打印出www相关进程,可以看到,ftp为用户pual所建,进程存在且我们进入了对方系统中,那么下一步就是抓取其中的流量包了,但是当前用户权限不足以使用系统工具,所以我们可以利用开头枚举的第二个用户来登录。
我们需要切换到stephen用户,这样方便我们去捕获数据包
这里捕获数据包使用的是tcpdump,当然也可以自己上传,不过很多linux都有,这里就直接就地取材。
Tcpdump -D列出所有抓取接口,方便选择相应接口抓取数据。
Tcpdump -i 选择接口 这里抓取本地ftp数据我选择了第三个接口
。
如图区间,里面包含了ftp创建用户的用户名与密码。
数据包分离后:
FTP: USER paul
length 21: FTP: PASS esomepasswford
FTP: 230 User paul logged in
User和pass都有了,就:
既然paul用户参与创建ftp,那么他在系统其余用户面前或许也有点面子,我默默打个sudo -l看看他在系统面前有什么面子。(当前用户权限查看)
既然可以以peter身份运行service,我们就利用好这个身份。
Sudo -u peter service …/…/bin/bash来到peter身份下,我们再看看这个peter多牛逼,sudo -l
到这里结果很明显了,
以root身份执行passwd,我们直接修改root密码即可,自此root用户权限算是到手了,我们登录下虚拟机。
本来做到最后想来个其他的提权方式的,结果:
条件不支持花式提权(装比),不过总之也是圆满结束了,总结下这个靶场难度一般,但是思路很重要,不然很浪费时间,所以不管做什么一定要保持冷静的头脑,才能更高效做事。
扫一扫
559
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
