本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.78
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令 autorecon 10.10.10.78 -o ./Aragog-autorecon
开放了3个端口,根据nmap的扫描结果,开放的ftp服务可以匿名登录并且上面有个文件test.txt将其下载下来得到如下信息
看此信息是个xml类型的文件内容,有可能跟xxe有关,再看看爆破的目录效果
发现了个有用的hosts.php文件,访问看看
没啥重要信息,想想把上面结果起来看看,使用burpsuite重放请求,具体关于xxe的攻击参考:https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XXE%20Injection
根据上面显示,增加xxe攻击代码,构造语句,得出下面测试代码
知道了有两个用户,读取每个用户的密钥试试,但是只成功了一个,具体如下
将得到的密钥复制到本地给权限600然后ssh登录到目标靶机
准备开始提权了,查看了目标靶机的系统内核和所使用的操作系统
确认系统架构之后开始监控下系统进程运行的情况,这里使用pspy这个款工具,前面也介绍到了,链接:https://github.com/DominicBreuker/pspy
确认每分钟都有计划任务在执行目标靶机的登录功能,查看下网站根目录发现存在dev_wiki这个目录,访问的时候会自动跳转一个域名,通过本地绑定hosts来完成正常访问,没发现啥东西,还是直接修改上述计划任务执行的wp-login.php文件,因为目录dev_wiki是777权限,所有人都可以进行修改,修改成如下代码
<?php file_put_contents("bmfx.log", print_r($_POST, true)); ?>
最终得到密码
使用su直接切换至root用户
