lzaysysadmin
情报搜集
-
主机发现,使用netdiscover
-
主机扫描,使用nmap
- 使用dirbuster进行网站目录扫描
- 可以看到扫描结果,有workpress和phpmyadmin
- 登录网站,查看robots.txt文件
- 存在目录遍历漏洞,但是没有发现可用信息
-
可以尝试爆破一下phpmyadmin的登录口令和wpscan扫描一下
-
主机扫描中发现445端口共享文件
- 发现三个共享的文件夹
- Linux下挂载资源命令:mount -t cifs -o username=’’,password=’’ //192.168.0.100/share$ /mnt
- Windows下瓜=挂载资源命令:net use k: \192.168.0.100\share$
- 查看wp-config.php,找到用户名和密码
8. 查看deets.txt,发现phpmyadmin的登录密码
- 登录WordPress后台,可以修改网页,加入webshell
10.根据查看的123456密码,使用ssh登录,用户名使用WordPress首页中提示的togie
- 登录后使用sudo切换root用户,查看/root/proof.txt
11. 使用WordPress后台管理功能写入反弹webshell
- 然后访问一个不存在的页面,注意理解这个不存在的页面,是让网站查找不到访问的页面
- 写入后监听本地端口,然后访问:http://192.168.24.128/wordpress/?p=2可以看到返回了一个shell
-
使用
python -c 'import pty; pty.spawn("/bin/sh")'
进入TTY,可以切换到togie用户,再切换到root用户 -
也可以进行提权,使用
CVE-2017-1000112
进行提权,我多次尝试失败,换了其他exp也失败,以后有时间再试试。