端口掃描與信息蒐集
訪問80端口,在index.html頁面獲得提示,訪問g@web目錄,獲取一個wp站點。
通過wpscan掃描發現一個用戶和一個類似密碼提示
嘶,登錄不了
然後通過wpscan枚舉插件,主題,發現存在一個插件:
使用wp的漏洞檢測網站查到相關漏洞:https://wpvulndb.com/
還是原創代碼執行漏洞,細節信息:https://wpvulndb.com/vulnerabilities/8949
自己構建一個form表單,構造poc:
上傳一個冰蠍馬:
通過wp-content的列目錄漏洞查看到shell位置:
可以看出上傳路徑是用時間戳加文件名
成功獲取冰蠍shell:
www的權限:
拿到數據庫賬號密碼,但是navicat連不上,使用adminer連接成功:
發現冰蠍的shell不是很好用,嘗試彈一個msf的shell:
翻目錄的時候發現存在3個用戶,使用之前失敗的密碼登錄,最後成功登錄security:
存在sudo的命令:
使用我提權神站發現sudo下find的提權方式:https://gtfobins.github.io/
這裏瞭解一個之前不瞭解的知識,因爲sudo的配置屬於無密碼執行,所以可以直接在security用戶使用hackNos用戶的權限執行sudo命令:
之後再次查看sudo,發現可以使用hunter用戶權限執行ruby命令,同樣是無密碼執行:
Sudo下ruby切換shell:
查看之前的user.txt文件,是一串md5,john破解失敗。還是查看sudo,發現可以執行gcc命令:
利用gcc提權成功。
之後修改密碼去查看一下sudoers的配置: