ximai靶机—难度easy-medium-知识点-wp-sqlmap-wpplugin #
这里应该有很多步骤拿shell 但我好像选择了最难的
Nmap扫描发现3个端口开放 #
看到这里你肯定笑嘻了 肯定是mysql skip对吧但是没有卵用
如图所示 mysql上不去
那就经典的扫描目录加上登录网站看看什么内容
80是一个经典的apache目录这里不说了
–你的字典不行啊有一个提示没扫出来… reminder.php 这里有个这个文件网站但是我没用上..
这里有info.php但是我没有用到 有一个adminer.php 是一个登录数据库的网站
这里我用了包含因为前面PHP包含打开了 但是没用上,然后sql注入试了试也不行就放弃了转向8000端口 是个wordpress 注意改域名
扫描下目录
1:这里发现很多东西但是我也没找到什么东西能用上- 这时候就用用wpscan扫描一下 只扫了一个用户adminer
2:插件扫太久了 卡了很久 问了下老哥 就用了下nuclei 没想到直接爆出来了
就是这个CVE2015 这里还有poc 你拿去访问下发现直接爆出了 数据库名字
这里直接启动sqlmap 但是注意你也要分析下这个poc 我通过yakit保存了数据包然后 -r 来使用要在参数后面加*
1:后面用sqlmap读取了数据库wp密码但是我不会解密 试了os 也不行 又试了试文件读取可以
poc:
python .\sqlmap.py -r .\1234.txt –level 4 –risk=2 –file-read="/etc/passwd"
2:注意看文件保存位置然后发现了两个用户 一共jimmy 一个 adminer 然后经典的爆破直接不行 好吧
3:然后因为这是个WP有wp-config这个文件的 但是我不知道位置 就只能一个个试 在/var/www/wordpress/wp-config.php 里面读出来然后有数据库的密码
我们上到这里来改wp用户的密码 注意它是md5 所以你要把密码加密为md5放上去才行 这里我放的是111
然后我们登录wp
wp反弹shell 一般都是写插件 这里我试了下
发现用不了又试了试下面这个payload
然后放到压缩文件里面 上传 他直接自动执行了 记得激活
拿到shell权限 #
这里作者给了adminer的密码 adminer123456 可能有bug 直接给我了
拿root #
这里sudo 可以使用grep 但是什么都做不了
但是但是你注意到了没有—————他可写…
这里grep里面写的是nc命令
然后那边nc监听即可
总结一下喽 #
1:懵懵懂懂的 熟悉下sqlmap
2:wp的插件反弹shell
3:数据库md5 修改用户
4:看文件可不可写