主要考察:
1、wpcms滲透技巧
2、Wpcms插件漏洞的使用
3、流量捕獲以及分析
4、Linux提權
Vulnhub官網速度感人,朋友給了這個站點,下載比較快點:http://five86.com/five86-2.html
導入到虛擬機裏,ip貌似爲動態分配,網卡我習慣設置爲橋接模式,於是nmap掃出d段,這個不用廢話了,也沒截圖。
找到ip登錄主站的時候,去說明前看了看,大概瞭解,不是那種右鍵源代碼就能獲得提示的環境:
咳咳,老臉微微泛紅。。誰不想直接登錄進去。。
不過既然是wpcms,那我們就用wpscan來看看吧,
掃到幾個用戶名admin peter stephen barney gillian
Giao!
習慣的去看了看,估計誤報不多,看提示要枚舉,那就跑跑密碼吧
wpscan --url http://192.168.1.119 -U 2.txt -P rklzd.txt -t 40
這裏花了一些時間,有些急躁所以忘了截圖,但是得到兩個用戶:barney:spooky1 stephen:apollo1
考慮過自動化,但沒什麼效果,於是從後臺入手:
這裏我們在上傳文件處試了下,沒什麼效果,拿google瀏覽器的翻譯撐着一個一個頁面看,不過在衆多插件中看到有一個眼熟的存在 Insert or Embed articulate content
該插件主要是可以快速的向文章中嵌入自己的學習內容(e-Learing),同時該插件可以直接對zip壓縮文件進行處理,文件可以先壓縮到zip中再一起上傳到服務器中。
我準備了一個後門
壓縮爲zip格式安裝包,在寫文章這裏添加文件,將壓縮好的腳本文件上傳 訪問http://five86-2/wp-content/uploads/articulate_uploads/shell/test.php壓縮包裏的文件被成功解壓到目標文件夾內
解壓目標目錄爲/wp-content/uploads/articulate_uploads,沒有設置任何訪問限制,任意用戶都可以直接訪問,插件接收zip壓縮包之後對壓縮包文件名進行了過濾,但是對壓縮包的內容沒有進行過濾,直接解壓到了目標文件下 有興趣可以審計其functions.php文件,處理zip的函數就在這裏。
我這裏是另外復現時傳的一個poc.zip示例。
連接shell,這個權限太低,這個等級的靶場做不了太多事情。
帶着這個權限找了很久,
我們先用php彈個shell吧,nc獲取到的時候再用python獲取個新的bash,不但看起來順眼,做事也順利很多。
Python3 -c ‘import pty;pty.spawn(“/bin/bash”)’
Pty模塊的spawn方法就不贅述了。
我們nmap掃描結果中;
發現ftp服務是開着的,
ps -auxwww 打印出www相關進程,可以看到,ftp爲用戶pual所建,進程存在且我們進入了對方系統中,那麼下一步就是抓取其中的流量包了,但是當前用戶權限不足以使用系統工具,所以我們可以利用開頭枚舉的第二個用戶來登錄。
我們需要切換到stephen用戶,這樣方便我們去捕獲數據包
這裏捕獲數據包使用的是tcpdump,當然也可以自己上傳,不過很多linux都有,這裏就直接就地取材。
Tcpdump -D列出所有抓取接口,方便選擇相應接口抓取數據。
Tcpdump -i 選擇接口 這裏抓取本地ftp數據我選擇了第三個接口
。
如圖區間,裏面包含了ftp創建用戶的用戶名與密碼。
數據包分離後:
FTP: USER paul
length 21: FTP: PASS esomepasswford
FTP: 230 User paul logged in
User和pass都有了,就:
既然paul用戶參與創建ftp,那麼他在系統其餘用戶面前或許也有點面子,我默默打個sudo -l看看他在系統面前有什麼面子。(當前用戶權限查看)
既然可以以peter身份運行service,我們就利用好這個身份。
Sudo -u peter service …/…/bin/bash來到peter身份下,我們再看看這個peter多牛逼,sudo -l
到這裏結果很明顯了,
以root身份執行passwd,我們直接修改root密碼即可,自此root用戶權限算是到手了,我們登錄下虛擬機。
本來做到最後想來個其他的提權方式的,結果:
條件不支持花式提權(裝比),不過總之也是圓滿結束了,總結下這個靶場難度一般,但是思路很重要,不然很浪費時間,所以不管做什麼一定要保持冷靜的頭腦,才能更高效做事。