00X1 背景
某自称大佬自个搭建的靶场,在朋友圈扬言搞定此靶场,工资随便开。啦啦啦啦呵呵哒,逼都让你装完了。
对http://cyxxxr.jxxxxc.com/进行针对性渗透测试,目标getshell。
00X2 信息收集
图2.1网站前台
网站的前台如图2.1所示(本身是英文很有逼格,被chrome翻译的古古怪怪),没有发现其他链接,无法直接手工获取后台。这里使用工具御剑对网站进行后台扫描。结果如图2.2所示:
图2.2御剑后台扫描
这里意外发现网站的info.php以及phpmyadmin数据库登录接口。分别打开如图2.3,图2.4所示,整挺好:
图2.3 oh,you find my phpinfo ^_^
图2.4 phpmyadmin
尝试弱口令登录未果。使用云悉进行进一步信息收集,有用的信息很少:
图2.5云悉扫描
信息收集总结:
l 脚本语言:php
l 数据库:MySQL
l Php版本:5.6.40
l 搭建系统:Linux
l IP(不排除cdn可能性):35.xxx.xxx.12
00X3 漏洞发现
经过信息收集,可利用的信息还是有限,脚本小子决定使用AWVS进行全站扫描,没想到结果还很令人满意:
图3.1AWVS扫描
发现网站备份文件/xxxx.zip,直接下载;尝试解压,发现需要解压密码。
图3.2 .zip文件
图3.3 解压密码
00X4 明文解码
在尝试弱口令解码,用工具ARCHPR暴力\破解无果后。一段时间处于焦灼期,度娘让我使用明文攻击,虽然下载的网站备份文件不能直接解压,但是可以访问整个网站的配置目录,我们访问安装包,将路径为../wwwroot/default/pma/DCO作为明文文件,这里的明文文件可以是压缩包里面的任意文件,具体原理小小白也不明白,详细可以度娘《明文破解》,这里访问网站:
http://cxxx.jxxx.com//default/pma/DCO下载到文件DCO如下图4.1:
图4.1 文件DCO
将此文件作为明文文件解压,尝试使用ARCHPR工具进行明文攻击:
图4.2 ARCHPR软件
点击开始,进行扫描。稍微等待一段时间后,得到扫描结果如下图4.3:
图4.3 解压密码
图4.4 解压成功
解压密码为123qwe,解压成功,nice兄dei们。
00X5 配置文件
打开网站备份文件,找到网站后台登录窗口,界面如图5.1:
图5.1 网站后台登录窗口
http://cxxxwar.jxxx.com/wp/wp-login.php,wordpress,牛逼啊。尝试多种方法登录未果。决定回到网站备份文件,寻找数据库登录密码,花费了很长时间之后,终于在目录
..\cyberwar\wwwroot\default\wp\wp-config.php找到数据库登录密码:
图5.1 数据库登录信息
00X6 登录后台,获取账号
根据以上账号密码(root/Cyber-Range-2048)登录网站数据库下图:登陆成功;
图6.1 图形化数据库界面
我们直接在数据库cyberarà表wp_users下面找到网站管理员用户,如上图所示。在尝试解码失败过后,使用sql语句将密码修改,然后用这个密码(jhy/yliang54)以管理员身份登录后台。成功!
图6.2 网站后台界面
00X7 getshell
在后台插件上传处,我们准备上传我们制作好的带有shell的命名为alipay-donate.1.8.8的插件木马。
图7.1 插件上传成功
如图,在网站后台我们发现了word press的版本为5.2.3.
图7.2 word press版本
该版本的wp默认上传目录为http://xxxr.jxxxxec.com/wp/wp-content,在这个目录后面加上我们上传的插件目录:http://xxxr.jxxxxec..com/wp/wp-content/plugins/alipay-donate/yliang54.php
图7.3 get shell
提权成功!这里可以直接修改上图中index.html文件的内容挂上黑页。Get shell!
放一张老哥给的中二黑页结束此次测试!
最后:
不知道会不会有人这篇文章,其实文章是在国庆前就码好了的,但是遭遇各种奇怪的事情(比如被这个傻逼老板放鸽子),个人心态也是起起伏伏,现在权当这里是个写笔记的地方,但是排版巨累,说不定没有下一更了.....
另外,由于是第一次挂文章,所以马赛克很严重,影响观看,请见谅。
本文分享自微信公众号 - 渗透云笔记(shentouyun)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。
来源:oschina
链接:https://my.oschina.net/u/4149042/blog/4477415