渗透测试之hacknos-player,459
端口扫描与信息搜集
访问80端口,在index.html页面获得提示,访问[email protected]目录,获取一个wp站点。
通过wpscan扫描发现一个用户和一个类似密码提示
嘶,登录不了
然后通过wpscan枚举插件,主题,发现存在一个插件:
使用wp的漏洞检测网站查到相关漏洞:https://wpvulndb.com/
还是原创代码执行漏洞,细节信息:https://wpvulndb.com/vulnerabilities/8949
自己构建一个form表单,构造poc:
上传一个冰蝎马:
通过wp-content的列目录漏洞查看到shell位置:
可以看出上传路径是用时间戳加文件名
成功获取冰蝎shell:
www的权限:
拿到数据库账号密码,但是navicat连不上,使用adminer连接成功:
发现冰蝎的shell不是很好用,尝试弹一个msf的shell:
翻目录的时候发现存在3个用户,使用之前失败的密码登录,最后成功登录security:
存在sudo的命令:
使用我提权神站发现sudo下find的提权方式:https://gtfobins.github.io/
这里了解一个之前不了解的知识,因为sudo的配置属于无密码执行,所以可以直接在security用户使用hackNos用户的权限执行sudo命令:
之后再次查看sudo,发现可以使用hunter用户权限执行ruby命令,同样是无密码执行:
Sudo下ruby切换shell:
查看之前的user.txt文件,是一串md5,john**失败。还是查看sudo,发现可以执行gcc命令:
利用gcc提权成功。
之后修改密码去查看一下sudoers的配置: