靶機練習:sunset: midnight

cha0s32發表於2024-06-05

資訊收集

掃全埠和服務

image-20240605150656466

image-20240605150908754

80 埠直接訪問訪問不了: /wp-admin http://sunset-midnight

看到域名先進行域名繫結,編輯 /etc/hosts

ip sunset-midnight

繫結後可正常訪問,訪問robots.txt 檔案

image-20240605151540459

訪問 /wp-admin,存在wordpress服務

使用wpscan 掃描 地址

[+] WordPress version 5.4.2 identified (Insecure, released on 2020-06-10).
 | Found By: Rss Generator (Passive Detection)
 |  - http://sunset-midnight/feed/, <generator>https://wordpress.org/?v=5.4.2</generator>
 |  - http://sunset-midnight/comments/feed/, <generator>https://wordpress.org/?v=5.4.2</generator>

[+] WordPress theme in use: twentyseventeen
 | Location: http://sunset-midnight/wp-content/themes/twentyseventeen/
 | Last Updated: 2024-04-02T00:00:00.000Z
 | Readme: http://sunset-midnight/wp-content/themes/twentyseventeen/readme.txt
 | [!] The version is out of date, the latest version is 3.6
 | Style URL: http://sunset-midnight/wp-content/themes/twentyseventeen/style.css?ver=20190507
 | Style Name: Twenty Seventeen
 | Style URI: https://wordpress.org/themes/twentyseventeen/
 | Description: Twenty Seventeen brings your site to life with header video and immersive featured images. With a fo...
 | Author: the WordPress team
 | Author URI: https://wordpress.org/

加引數 -e u 掃描使用者,存在使用者 admin

wpscan --url http://sunset-midnight -e u

爆破密碼沒爆出來,又看到xml-rpc開了,看看有沒有東西

image-20240605153915838

嘗試檔案讀取,無果

image-20240605155325698

嘗試3306 服務,爆破,有賬號密碼

image-20240605160316587

成功登陸 mariadb

image-20240605162306219

存在 wordpress_db資料庫,有wp_users 表,表裡有賬號與密碼密文,嘗試使用hash-identifier判斷,判斷不出來是什麼密碼

拿shell

root有更改資料表的許可權,可更改密碼為123456

image-20240605191825776

回到web端登陸wordpress

image-20240605192409840

成功登陸後臺後,有多種getshell方法

在 Appearance -> Edit Themes 模組中,選擇TwentyTwenty 主題(其他主題好像更新不了程式碼)

image-20240605213713546

更新404.php,直接換成我們的php-reverse-shell.php,設定好監聽後訪問

注意地址是:http://sunset-midnight/wp-content/themes/twentytwenty/404.php

image-20240605213831878

拿到shell了,下一步準備提權

提權

翻wordpress配置檔案,發現存在賬號jose的資料庫賬號密碼

linpeas.sh 跑一遍也發現系統存在jose這個賬戶

image-20240605215635354

成功在系統中su jose,再跑一遍linpeas.sh 看看有沒有其他資訊

嘗試 sudo -s 失敗

image-20240605215926556

sudo不能用,看看還有沒有suid的程式

image-20240605220843102

status有點特殊,執行一下

image-20240605220915709

提權過程為:status運用了service程式,呼叫過程中沒有使用絕對路徑,可以自定義services加到環境變數中以獲得提權效果

image-20240605223158637

我們可以看到命令中確實只用了相對路徑(提權完以後再看到的,我也是看walkthrough做的)

image-20240605222455327

相關文章