老规矩,直接上nmap
nmap -p- -A -sV -Pn 10.10.10.145
结果如下:
Starting Nmap 7.01 ( https://nmap.org ) at 2018-10-08 16:50 CST
Nmap scan report for 10.10.10.145
Host is up (0.0082s latency).
Not shown: 65532 closed ports
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.4.7 ((Ubuntu))
|_http-server-header: Apache/2.4.7 (Ubuntu)
|_http-title: Site doesn't have a title (text/html).
443/tcp open ssl/http Apache httpd
|_http-server-header: Apache
|_http-title: Site doesn't have a title (text/html).
| ssl-cert: Subject: commonName=www.example.com
| Not valid before: 2015-02-17T03:30:05
|_Not valid after: 2025-02-14T03:30:05
8080/tcp open http Apache httpd
|_http-server-header: Apache
|_http-title: Site doesn't have a title (text/html).
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 19.35 seconds
80端口只是对应一张图片,443以及8080却是对应woordpress
图一
dirbuster扫描结果如下所示:
图二
扫到后台是phpmyadmin,然后有一个登录界面login.php以及phpmyadmin的登录界面
来到这里先用wpscan扫描一波先
wpscan vp vt --url http://10.10.10.145:8080/wordpress
结果如下:
图三
图四
图五
图六
这个扫出许多有问题的插件,例如xss,sql,敏感信息泄露,权限提升等等。
在网上一波搜索以后发现这些漏洞基本都是要登录才能用的,这里没有登录账号密码所以没啥意义。
那么就看dirbuster扫描出来登录界面:
图七
试了下万能密码,发现可以绕过,登录成功的时候会返回一个1,失败的时候会返回一个0
那就是说存在sql注入了。
sqlmap -r 3.txt --dbs直接获取数据库
图八
可以看到一个wordpress8080的数据库,由于前面nmap扫描发现8080开放wordpress,所以直接看看这个能不能怎么用。
sqlmap -r 3.txt --dump -D wordpress8080
图九
看到用户名以及密码都有了,回到wordpress登录界面一波操作。
进去wordpress以后就直接进appearance选editor里面的404一波操作,往404里面添加自己的木马代码,其实还有一种方法是直接上传自己的木马shell zip文件,不过这样做有点蠢,还是自己编辑不会被发现。
图十
接着直接上nc监听,浏览器随便访问个不存在的界面,能404就行。
图十一
查看一波/etc/passwd,发现完成目标了。
图十二
总结:
1.先全端口扫描,然后直接上dirbuster扫描发现phpmyadmin以及wordpress
2.然后直接sqlmap跑出wordpress口令,登录以后直接插木马获取shell
3.直接查看/etc/passwd,就可以获取flag
参考链接:http://sec-redclub.com/archives/755/
下载链接:https://www.vulnhub.com/entry/tophatsec-freshly,118/
网友评论