記錄一次從WordPress後臺到拿下主機shell的滲透

從學校某公衆號知悉如今能夠直接從外網訪問校內的幾個Web系統。

經過分析，發現只是把幾大內網系統經過內網穿透映射到了外網一臺服務器的不一樣端口上，因此我決定從這臺外網服務器開始下手。

 

直接訪問域名，發現一個WordPress博客，訪問WordPress的默認後臺地址，進入後臺登陸網頁。測試下admin賬戶和admin密碼，提示「 無效用戶名 」（這裏吐槽下WordPress的登陸失敗提示功能，一個合格的登陸系統不該該暴露賬戶是否存在，容易被人暴力破解），說明後臺沒有賬戶名爲 admin 的帳號。

 

這時我想起本身之前搭建WP博客時用的用戶名是一個郵箱，會不會他也是用郵箱登陸？

思路一轉，立刻查詢這個域名的Whois信息，域名註冊人和註冊郵箱信息盡收眼底，用註冊域名的郵箱去WP後臺登陸，果真，登陸失敗的提示變了。

說明此賬戶確實存在，接下來爆破密碼。根據域名註冊人的姓名，我構造了一個簡單的組合弱口令，竟然成功進去，連字典都沒用上。

WordPress的後臺防護很弱，利用插件上傳功能，咱們能夠直接上傳木馬，這裏我寫了一個接收POST請求的PHP一句話木立刻傳到服務器。（之因此不是GET類型木馬，是由於中國蟻劍只支持POST類型的木馬）

上傳成功後就能夠直接訪問大馬了，根據上傳時間的年月能夠知道木馬所在路徑爲：

http://www.xxx.com/wp-content/uploads/2019/09/wp_tmp.php

 （這裏又得吐槽下WP的文件上傳功能，一個合格的文件上傳功能應該在文件上傳後對其進行隨機重命名，避免黑客訪問到木馬）

接着用中國蟻劍鏈接shell，成功getshell。

進虛擬終端逛下，發現不少有趣的東西，內核版本爲Linux 3.10.0，還能夠進一步利用髒牛漏洞進行提權，不過筆者決定到此爲止。

 

最後創建一個象徵性的目錄，幫他刪掉木馬，走人。