端口扫描
靶机只开了80端口,且操作系统是fedora
nmap漏洞扫描没有什么结果
sql注入
浏览每个点的时候注意url的变换,其中在uncategorized这个地方可以看到cat=1存在一个传参,那么这里可能点就有很多了,第一反应应该是sql注入去尝试,当然不止这个点有参数交互,但是经过尝试以后这个点是唯一一个可以利用的地方。
后续这里我经过手工 and 1=1 and 1=2 测试过以后判断是一个数字型注入,后面就丢到sqlmap里面去跑了,在跑的过程中发现了wordpress字眼并且得到了一组账号密码。
有了这组账号密码就可以尝试去登录后台了。
目录爆破
这里 我犯了一个错误,注意到我们直接输入ip进入web以后是自动加了一个目录的,而我刚开始用目录爆破只是加了一个ip导致没扫到后台,浪费了点时间
很常见的wordpress目录
wordpress渗透
这里因为是做wp,所以尝试部分就不一一再去详细说了,这里注意登录以后如果没有跳转那么自己再去访问一下index.php(和登录在同一目录下)就好了,然后这里因为这个账号的密码是admin,以为权限很大,但是进入后台以后才发现这个用户权限不多,这里只能一个一个去尝试,这里最后可以用乔治米勒那个账号就好。
后台一般渗透思路就是找上传点和代码执行点,这里没什么特别的技巧对于不熟悉的系统只能一个一个去看或者在网上找漏洞。对于wordpress来说,上传和编辑点多出现在plugins这里,更高版本的还有主题这两个地方。
这里也是可以直接编辑php代码,那么直接写入反弹shell就好了。不过这里我刚开始验证时想写入phpinfo()但是一直没成功,不知道为什么。
这里改写成功以后就是去访问然后触发了,而怎么触发需要我们找到这个文件的目录,对于wordpress不熟悉时候可以使用目录爆破去做,而熟悉以后按照经验可以想到wp-content/plugins/hello.php这里。
这里可以用feroxbuster去跑,也可以用dirbuster这类跑二级甚至更深目录的工具,总能跑出来的。不过为了快速执行我们的代码并且实战中再跑一次容易被发现,还是记住wordpress常见目录
插件和主题的一些目录
https://target.com/wp-content/plugins/PLUGINNAME/readme.txt
https://target.com/wp-content/plugins/PLUGINNAME/readme.TXT
https://target.com/wp-content/plugins/PLUGINNAME/README.txt
https://target.com/wp-content/plugins/PLUGINNAME/README.TXT
https://target.com/wp-content/themes/THEMENAME/style.css
https://target.com/wp-content/themes/THEMENAME/readme.txt
这里对于wordpress的更全面扫描还是建议使用wpscan这个软件,去官网免费注册一个api就可以得到很多信息了,同样也可以帮我们找到修改或上传的文件。
内网
进入时候记得用python获取一个交换更好的窗口
这里在常规的查看密码,home,suid等一系列尝试以后发现并没有我能发现提权的地方,那么只能尝试内核提权。
对于内核提权在最初学习的时候我很喜欢,因为觉得只有不是受限严重的shell都可以完成root,但是随着后面靶机练习多了,感觉内核提权并不简单,需要的经验也很多,怎么筛选,怎么调试都是技术活。
这里看红队笔记做的时候是这么解释的,对于linux版本我们不需要指定的特别详细例如2.1.28 我们指定2.1.2即可,然后对于得到的结果做一些提权方面的筛选。对于具体发行版本目前看还是不要作为筛选条件了,因为这样虽然针对性更强但容易筛掉一些大范围的不限发行版本的漏洞。
对于筛选后的结果,我们尽量选取条件不是那么严苛的,比如必须大于或在某两个版本之间的这样的信息。我们尽量选取小于某一版本这种筛选信息的即可。
除了人工外,我们也可以使用linpeas做一些提权信息枚举,对于内核他这里也是用了linux exploit。
通过人工和脚本配合,筛选出一些合适的去做尝试。
这里自己试了4个无果没心态了,去看wp,用的是这个
下载下来编译执行即可。
这里对于内核提权不好的点就有一个,靶机做完以后再用这个去提权就不成功了,一次性提权
重启机器以后才可以,所以实战情况下用内核提权应该是要慎用的,搞不好就给机器搞出什么故障了。
总结
靶机难度算初级,思路不难比较常规,从web入口sql注入得到口令密码然后进入后台编写页面反弹shell内核提权。流程相对比较简单。没什么特别多的坑点,唯一比较麻烦的可能就是对于提权exp的筛选。