資訊收集
掃全埠和服務
80 埠直接訪問訪問不了: /wp-admin http://sunset-midnight
看到域名先進行域名繫結,編輯 /etc/hosts
ip sunset-midnight
繫結後可正常訪問,訪問robots.txt 檔案
訪問 /wp-admin,存在wordpress服務
使用wpscan 掃描 地址
[+] WordPress version 5.4.2 identified (Insecure, released on 2020-06-10).
| Found By: Rss Generator (Passive Detection)
| - http://sunset-midnight/feed/, <generator>https://wordpress.org/?v=5.4.2</generator>
| - http://sunset-midnight/comments/feed/, <generator>https://wordpress.org/?v=5.4.2</generator>
[+] WordPress theme in use: twentyseventeen
| Location: http://sunset-midnight/wp-content/themes/twentyseventeen/
| Last Updated: 2024-04-02T00:00:00.000Z
| Readme: http://sunset-midnight/wp-content/themes/twentyseventeen/readme.txt
| [!] The version is out of date, the latest version is 3.6
| Style URL: http://sunset-midnight/wp-content/themes/twentyseventeen/style.css?ver=20190507
| Style Name: Twenty Seventeen
| Style URI: https://wordpress.org/themes/twentyseventeen/
| Description: Twenty Seventeen brings your site to life with header video and immersive featured images. With a fo...
| Author: the WordPress team
| Author URI: https://wordpress.org/
加引數 -e u 掃描使用者,存在使用者 admin
wpscan --url http://sunset-midnight -e u
爆破密碼沒爆出來,又看到xml-rpc開了,看看有沒有東西
嘗試檔案讀取,無果
嘗試3306 服務,爆破,有賬號密碼
成功登陸 mariadb
存在 wordpress_db資料庫,有wp_users 表,表裡有賬號與密碼密文,嘗試使用hash-identifier判斷,判斷不出來是什麼密碼
拿shell
root有更改資料表的許可權,可更改密碼為123456
回到web端登陸wordpress
成功登陸後臺後,有多種getshell方法
在 Appearance -> Edit Themes 模組中,選擇TwentyTwenty 主題(其他主題好像更新不了程式碼)
更新404.php,直接換成我們的php-reverse-shell.php,設定好監聽後訪問
注意地址是:http://sunset-midnight/wp-content/themes/twentytwenty/404.php
拿到shell了,下一步準備提權
提權
翻wordpress配置檔案,發現存在賬號jose的資料庫賬號密碼
linpeas.sh 跑一遍也發現系統存在jose這個賬戶
成功在系統中su jose,再跑一遍linpeas.sh 看看有沒有其他資訊
嘗試 sudo -s 失敗
sudo不能用,看看還有沒有suid的程式
status有點特殊,執行一下
提權過程為:status運用了service程式,呼叫過程中沒有使用絕對路徑,可以自定義services加到環境變數中以獲得提權效果
我們可以看到命令中確實只用了相對路徑(提權完以後再看到的,我也是看walkthrough做的)