本人技术菜,有写的不妥当的地方,敬请各位师傅赐教,感激不尽!
(能优化的步骤一定告诉我吖吖吖~)**
Independent Challenges
1.1 Target #1 – 172.16.XX.XX
1.1.1 Initial Access — 目录遍历发现 wordpress页面
Vulnerability Explanation: Linux服务器所部署的CMS- wordpress框架的插件—AdRotate有文件上传漏洞,允许用户上传可执行文件。导致服务器可以被攻击者获取低权限用户,wordpress的配置文件wp-config.php中包含loly用户的密码,所以攻击者可以切换到权限更高的用户loly。Linux服务器有[CVE-2017-16995] eBPF_verifier漏洞,所以使用loly用户运行对应脚本后,获得该服务器最高权限。
Vulnerability Fix: 插件—AdRotate应该卸载或者使用更高版本。Linux服务器应该安装安全补丁,以修复[CVE-2017-16995]漏洞。
Severity: Critical
Steps to reproduce the attack: 扫描目标机器,并且利用wordpress的插件漏洞获得目标低权限用户控制权。查看机器内核版本,下载并运行扫描脚本,查看配置文件获得更高权限用户控制权。利用机器未修复的CVE漏洞进行提权。
1.1.2 Service Enumeration
Port Scan Results
| IP Address | Ports Open |
| 172.16.33.25 | TCP: 80 |
We ran nmap to scan the target and found that only one port was open.
nmap -p80 -A 172.16.33.25
1.1.3 Initial Access—wordpress的文件上传
访问IP
dirsearch路径遍历目标 172.16.XX.XX
发现新的界面:
发现画面不能正常显示。
于是使用vim编辑/etc/hosts文件,添加172.16.33.25 loly.lc记录
再次访问 http://172.16.33.25/wordpress/ 已经可以正常访问。
再次使用dirsearch工具对http://172.16.33.25/wordpress/ 进行路径遍历。找到几个路径:
找到一个登录界面。使用wpscan扫描,看看有无结果。发现一个用户名loly:
随意输出,查看回显:
用户名输入loly
比对两张图片的不同,得出该登录界面存在loly这个用户。接下来爆破loly的密码。
使用上述账号密码登录成功。
找到可以上传文件的地方,并上传文件:
找到文件上传的路径:
尝试监听端口并运行,成功获得初始控制权。
使用python获得完整的控制台:
\$ python3 -c "import pty; pty.spawn('/bin/bash')"
**疑问:
1.OSCP考试的时候,如果脏牛漏洞把考试机器打挂了怎么办???
就loly这台机器被我打挂了三回。等待一个白天才重置,这要是考试不就完犊子啦??
哪个大佬能解答一下小妹的疑问。**
1.1.5 Post Exploitation
运行该文件
loly\@ubuntu:/tmp\$ ./dirtyc0w
# cd root
# ls
# cat root.txt
