hututu
- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
今天继续打靶场,这个靶场不难,但是我花了一天的时间,感觉被作者骗了。
靶场地址:
主机发现
arp-scan -l
发现靶机。
端口扫描:
nmap -sV -sC -T4 192.168.1.16 -p-
#每次都是用这一个命令
看到有80端口,去访问。
我今天一上午都在这个页面中度过了,我看到这个页面有mysql提示,而且他这个页面的两张图片名字很不正常。
这里就不细讲这个页面是如何折磨我的了。
使用dirb目录扫描
dirb http://192.168.1.16 -o lazy.txt
#将扫描结果保存在lazy.txt中
扫出来很多信息,有phpmyadmin,还有wordpress(一个搭建博客的框架)主页面还有一个info.php,
之前打靶场有碰到过wordpress,kali有一个专门扫wordpress的工具wpscan,这里就简单扫一下。
wpscan --url http://192.168.1.16/wordpress --enumerate u
#扫描目标url并枚举目标注册用户名
枚举出两个用户,这里就简单爆破了一下phpmyadmin界面和wordpress后台界面,但是都没有结果。
后台界面url:http://192.168.1.16/wordpress/wp-login.php,然后就一直卡在这了,下午才发现还有个445端口,尝试访问一下。
然后就真能访问,我的天,要是我早知道,这个靶场就应该是过的最轻松的一个靶场了,share$能匿名访问,进去一看,里面别有洞天。
这里还是想要到wordpress后台,所以直接进入wordpress文件夹,找到他的配置文件找到登陆密码。
用户名就是我们刚刚枚举出来的Admin。
接下来想办法getshell,网上有几种方法都可以getshell。
第一种方法 上传插件getshell
在插件那里点击 add new 来到这个页面然后点击upload plugin就能直接上传php文件。
在本地写个一句话木马然后上传。
出现这个界面就是上传成功。
然后去 http://192.168.1.16/wordpress/wp-content/uploads/2022/04/shell.php这个链接访问一下。
这里注意目录是当天日期。
可以看到成功执行命令。
第二种方法,修改插件外观等页面代码插入一句话
可以看到右边的文件均可更改,这里以404.php为例,修改为phpinfo(),修改完成点击保存然后访问链接:http://192.168.1.16/wordpress/wp-content/themes//twentyfifteen/404.php。
代码成功执行。
这里可以直接写入反弹shell的代码,访问即可getshell,我这里使用蚁剑连接。
然后在这里找提权,啥也没找到,后来在根目录的deets.txt下发现线索。
其实这个在smb共享文件里面就有,但是没有注意,这里有passwd 12345,应该就是togie的密码,
连接ssh。
连接成功,在我使用find命令时,发现有rbash,rbash就是受限制的命令,在rbash下很多命令不能使用。
正好之前打靶场学过怎么绕过rbash,可以参考这篇文章了解rbash绕过,
这里使用vi绕过:
在命令行输入vi回车,然后shift+;进入底层交互,输入 set shell=/bin/bash 然后回车。
接着在进入底层交互 直接输入shell 然后回车。
他就会自己退出来。
这时候再使用 find / -perm -u=s -type f 2>/dev/null。
但是好像没啥能提权的,再看看 sudo提权有没有。
看着啥也没有,但是感觉这个界面看着很奇怪,我就直接试了试sudo 查看 /root 目录。
直接就成了???
不管了直接看看flag。
没有flag,只有一串加密字符,就先这样吧,这个靶场就打完了。
参考文章
VulnHub靶机学习——lazysysadmin | CN-SEC 中文网
(12条消息) 记一次菜鸡的低级折腾--WordPress get Webshell(后台文件编辑插马)_大千SS的博客-CSDN博客
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)