mr robots(escalation privilege)

上一篇

通过这篇文章,学习shell脚本获取提权信息

nikto -host 192.168.1.135

1 WordPress/4.3.1


研究一下CVE-2017-8295:密码重置

https://exploitbox.io/vuln/WordPress-Exploit-4-7-Unauth-Password-Reset-0day-CVE-2017-8295.html

wordpress未授权密码重置

1
2
3
4
5
6
As we can see, Wordpress is using SERVER_NAME variable to get the hostname of
the server in order to create a From/Return-Path header of the outgoing password
reset email.
However, major web servers such as Apache by default set the SERVER_NAME variable
using the hostname supplied by the client (within the HTTP_HOST header):
这个cms在创建密码重置邮箱的时候,用到了主机名这个变量,而apache这种服务器,是使用客户提供的http主机头文件作为“主机名变量”

客户提供的http_host header 2 如果我们把这个变量改为“attackers-mxserver.com”,wordpress的“$from_email”变量为”wordpress@attackers-mxserver.com“

3

查找了一下不能发邮件的原因,==缺少了插件wp-mail-smtp。 http://www.jamesandchey.net/wordpress-the-e-mail-could-not-be-sent-possible-reason-your-host-may-have-disabled-the-mail-function/

好吧,就研究到这里,如果这个目标机有好好配置的话,是可以通过未授权密码重置,得到密码的。


研究一下shell脚本SUID检查

nmap并没有写在环境变量中,所以直接调用nmap是not found。 在这个靶机中,nmap很鸡贼地藏在/usr/local/bin/路径下。 nmap version 3.81,低版本的nmap可以以执行root 12

执行一下脚本,即可获取有SUID权限的二进制文件。

1
2
3
4
#!/bin/bash
cd /tmp
find / -perm -4000 2>/dev/null > examSUID.txt
cat examSUID.txt | grep -E "nmap|vim|find|bash|more|less|nano|cp"

script还很简陋,以后再优化优化。