dpwwn-02靶機滲透
dpwwn-02靶機滲透
將兩臺機器都配置為net模式。
進行一下內網掃描:
發現主機10.10.10.10,進行埠掃描。
發現有80,111,443,2049等埠開放,443值得注意。
訪問網站告訴我們:dpwwn-02 GOAL IS SIMPLE : OBTAIN: # shell like root@dpwwn-02:~#
進行目錄爆破,發現wordpress,訪問http://10.10.10.10/wordpress/
。
利用wpscan掃描一下,發現外掛。
列舉一下使用者:發現admin使用者。
搜尋一下漏洞。
發現一個本地檔案包含的漏洞,是18年的,根據dirb掃描出來的地址,生成payload:http://10.10.10.10/wordpress/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/etc/passwd
成功執行,但是沒辦法getshell,看一下2049,以及443埠。
發現/home/dpwwn02目錄可以掛載,進行掛載。
mkdir /mnt/dpwwn02
mount 10.10.10.10:/home/dpwwn02 /mnt/dpwwn02
msf設定一下,訪問網頁,進行shell反彈。
http://10.10.10.10/wordpress/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/home/dpwwn02/shell.php
。
進入互動頁面:
發現定時計劃在日誌目錄下clear-apache2.sh
但是沒有執行許可權。
發現find命令以及mount命令,都可以進行提權。