2018-10-08-Vulnhub渗透测试实战writeup(5)

老规矩，直接上nmap
nmap -p- -A -sV -Pn 10.10.10.145
结果如下：

Starting Nmap 7.01 ( https://nmap.org ) at 2018-10-08 16:50 CST
Nmap scan report for 10.10.10.145
Host is up (0.0082s latency).
Not shown: 65532 closed ports
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.4.7 ((Ubuntu))
|_http-server-header: Apache/2.4.7 (Ubuntu)
|_http-title: Site doesn't have a title (text/html).
443/tcp open ssl/http Apache httpd
|_http-server-header: Apache
|_http-title: Site doesn't have a title (text/html).
| ssl-cert: Subject: commonName=www.example.com
| Not valid before: 2015-02-17T03:30:05
|_Not valid after: 2025-02-14T03:30:05
8080/tcp open http Apache httpd
|_http-server-header: Apache
|_http-title: Site doesn't have a title (text/html).

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 19.35 seconds

80端口只是对应一张图片,443以及8080却是对应woordpress

图一

dirbuster扫描结果如下所示：

图二

扫到后台是phpmyadmin，然后有一个登录界面login.php以及phpmyadmin的登录界面

来到这里先用wpscan扫描一波先
wpscan vp vt --url http://10.10.10.145:8080/wordpress
结果如下：

图三

图四

图五

图六

这个扫出许多有问题的插件，例如xss,sql,敏感信息泄露，权限提升等等。
在网上一波搜索以后发现这些漏洞基本都是要登录才能用的，这里没有登录账号密码所以没啥意义。
那么就看dirbuster扫描出来登录界面：

图七

试了下万能密码，发现可以绕过，登录成功的时候会返回一个1,失败的时候会返回一个０
那就是说存在sql注入了。
sqlmap -r 3.txt --dbs直接获取数据库

图八

可以看到一个wordpress8080的数据库，由于前面nmap扫描发现8080开放wordpress，所以直接看看这个能不能怎么用。
sqlmap -r 3.txt --dump -D wordpress8080

图九

看到用户名以及密码都有了，回到wordpress登录界面一波操作。
进去wordpress以后就直接进appearance选editor里面的404一波操作，往404里面添加自己的木马代码，其实还有一种方法是直接上传自己的木马shell zip文件，不过这样做有点蠢，还是自己编辑不会被发现。

图十

接着直接上nc监听，浏览器随便访问个不存在的界面，能404就行。

图十一

查看一波/etc/passwd,发现完成目标了。

图十二

总结：
1.先全端口扫描，然后直接上dirbuster扫描发现phpmyadmin以及wordpress
2.然后直接sqlmap跑出wordpress口令，登录以后直接插木马获取shell
3.直接查看/etc/passwd，就可以获取flag

参考链接：http://sec-redclub.com/archives/755/
下载链接：https://www.vulnhub.com/entry/tophatsec-freshly,118/