渗透测试之hacknos-player,459

端口扫描与信息搜集

访问80端口，在index.html页面获得提示，访问[email protected]目录，获取一个wp站点。

通过wpscan扫描发现一个用户和一个类似密码提示

 

 

嘶，登录不了

 

然后通过wpscan枚举插件，主题，发现存在一个插件：

使用wp的漏洞检测网站查到相关漏洞：https://wpvulndb.com/

还是原创代码执行漏洞，细节信息：https://wpvulndb.com/vulnerabilities/8949

自己构建一个form表单，构造poc：

上传一个冰蝎马：

通过wp-content的列目录漏洞查看到shell位置：

可以看出上传路径是用时间戳加文件名

 

 

 

 

 

 

 

 

 

 

 

成功获取冰蝎shell：

 

www的权限：

 

拿到数据库账号密码，但是navicat连不上，使用adminer连接成功：

 

 

 

 

 

发现冰蝎的shell不是很好用，尝试弹一个msf的shell：

 

 

翻目录的时候发现存在3个用户，使用之前失败的密码登录，最后成功登录security：

 

存在sudo的命令：

使用我提权神站发现sudo下find的提权方式：https://gtfobins.github.io/

这里了解一个之前不了解的知识，因为sudo的配置属于无密码执行，所以可以直接在security用户使用hackNos用户的权限执行sudo命令：

 

之后再次查看sudo，发现可以使用hunter用户权限执行ruby命令，同样是无密码执行：

Sudo下ruby切换shell：

 

查看之前的user.txt文件，是一串md5，john**失败。还是查看sudo，发现可以执行gcc命令：

利用gcc提权成功。

 

之后修改密码去查看一下sudoers的配置：