type
status
date
slug
summary
tags
category
icon
password
Red
信息收集
端口扫描
攻击机ip:192.168.108.50
靶机ip: 192.168.108.142
靶机地址:https://www.vulnhub.com/entry/red-1,753/
Web服务探测
开了22和80端口,访问一下80端口,显示的HTML 是一个被黑页面,从 HTML 源码可以看出,该站点是基于 WordPress 5.8.1 构建,而且从留下的签名来看red还给我们留下了backdoor,尝试一下搜索框,发现是传入s参数到http://redrocks.win
漏洞分析与利用
WordPress版本漏洞分析
WordPress 5.8.1 存在多个已知漏洞,如:
- XML-RPC 接口绕过认证 (
xmlrpc.php);
- 第三方插件 RCE/SQLi;
- 文件上传未做限制;
- 任意选项更新漏洞。
图片.png
目录爆破与站点发现
尝试爆破一下目录,有多个页面重定向到http://redrocks.win
看一下robots.txt,尽管禁用了
/wp-admin/,但允许爬虫访问 admin-ajax.php,这个文件通常用于异步请求(如前端交互或插件功能),因此需要开放,同时指定了网站的 sitemap 文件地址xmlrpc.php接口分析
xmlrpc.php 返回 405说明接口存在但拒绝非 POST 请求,是 WordPress 的远程 API 接口,存在以下风险:
- 可用于账号爆破(XMLRPC
system.multicall);
- 部分插件利用该接口触发反序列化漏洞(如旧版
mailpoet);
- 可做PingBack DDoS 放大攻击。
图片.png
域名解析与LFI漏洞利用
所有的线索都指向一个域名http://redrocks.win,但苦恼的是我们目前没有任何关于它的线索,但多半是dns域名解析,在源码中发现的dns-prefetch更加证明了我们的猜想,往hosts里添加,成功进入
图片.png
图片.png
因为可以传入参数所以尝试一下有没有sql注入,文件包含,xss或者命令执行,发现都无效,没有线索了继续信息收集,在helloword页面我们发现了留下的提示,提示我们可以去找,miessler先生,搜索一下发现就是seclists的作者,可能暗示我们需要用到这里面的字典,考虑到之前red有说留下后门,爆破一下目录,查看有没有留下反弹shell的后门文件,成功发现了留下的后门文件,看名字是网络文件管理的,但是不知道后门的代码是啥,没法利用,搜了一下,原来是github开源的backdoorhttps://github.com/BlackArch/webshells/blob/master/php/NetworkFileManagerPHP.php
让ai解读一下,但返回码为500证明我们并不能直接访问NetworkFileManagerPHP.php
但可能存在LFI漏洞,尝试使用wfuzz爆破一下
图片.png
图片.png
LFI参数爆破
但是由于一次测试的回应过慢,导致字典没跑完就超时了,我们尝试使用burpsuite的
intruder模块进行爆破,爆破出参数为key,成功查看用户信息,利用php伪协议查看backdoor文件源码base64解码后发现还有一段加密字符串,解码一下
图片.png
图片.png
LFI读取配置文件
有关于Hashcat的暗示,考虑到是在WordPress环境下,所以想到
wp-config.php文件中可能存储着关键的数据库连接信息,利用PHP伪协议读取wp-config.php文件的内容,对读取到的内容进行base64解码,成功获取数据库连接信息,同时获取到了密钥和salt的值,define(‘FS_METHOD’, ‘direct’);的设置也代表 WordPress 允许直接在文件系统中写文件
图片.png
凭证破解与SSH登录
尝试直接用此密码登录,无果,说明可能是加密过的或者不正确的,结合之前的提示,考虑到可能是拿hashcat的
best64.rule 进行了规则变形,添加了前缀、后缀、大小写变换、leet 字符替换等操作,但企图拿规则扭曲过的字符串反推正确密码无异于大海捞针,所以考虑到也有可能这个是密码的基础词,尝试将密码规则扭曲后生成密码字典,结合hydra爆破登录ssh权限提升
本地信息收集
成功获取到密码:R3v_m4lwh3r3_k1nG!!6,登录ssh,登录后发现red留给我们的语句
john@red:~$ You will never see your way to 0xdf
暗示我们不能“看见”路径,可能是隐藏文件、权限限制或非标准路径
先不管它,先sudo -l一下,并且查看含suid权限的可疑程序
用户切换与持久化
发现pkexec,常用于以 root 权限 执行程序。历史上有多个漏洞(比如 CVE-2021-4034,鉴于没给gcc和make,所以我们考虑CVE-2021-3560但是CVE-2021-3560为
polkit 0.113 ~ 0.118的漏洞,所以又找CVE-2021-4034的pyexp还没进行尝试,就被red踢出来了,这次登录ssh后先进行反弹shell,发现老密码不管用了,说明密码会发生变化,重新使用hydra爆破新密码,成功反弹shell,但做到一半发现还是会被踢,并且还多了一个red给我们的留言,留言告诉我们cat被ban了
考虑到之前sudo -l出来的time,可以利用
time 执行任意命令,从而切换到 ippsec 用户的权限,成功进入ippsec,尝试反弹shell但是这个shell不支持,发现有python3,用python3成功反弹,但还是会被踢,考虑到red定期讲话,可以怀疑red还放了一个
审计/监控脚本检测并 kill我们反弹shell的进程,所以我们将反弹shell写入到文件中并执行来防止被检查,因为cat被red ban了所以我们使用nano来进行操作,看了大佬的wp,不知道为什么一样的操作还是会被踢,不管了,速战速决
图片.png
图片.png
传入exp拿下flag
- Author:axlfpe
- URL:https://tlifecafe.xyz/article/bd86d8a7-6f0e-47e5-becc-57b31476d29c
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!
