攻防靶场(37)：一个getshell比提权好玩的靶场 Blogger

1. 侦查

1.1 收集目标网络信息：IP地址

靶机启动后，没有提供IP地址。由于Kali和靶机在同一个C段，可以扫描ARP协议获取靶机IP地址。

1.2 主动扫描：扫描IP地址段

对靶机进行全端口扫描、服务扫描、版本扫描，发现22/SSH、80/HTTP。

1.3 主动扫描：字典扫描

扫描网站目录和页面，发现/assets/目录、/index.html页面。

1.4 搜索目标网站

/index.html页面是开发中的网站，与后台没有数据交互。

/assets/目录下的/assets/fonts/blog/目录竟然是WordPress搭建的网站。

浏览WordPress网站需要通过域名

在Kali中绑定域名

可以正常浏览WordPress网站了

2. 初始访问

2.1 利用面向公众的应用

扫描WordPress网站的用户

发现用户 j@m3s、jm3s，但爆破不出密码。

扫描WordPress网站的插件

发现插件wpDiscuz存在文件上传漏洞

寻找漏洞EXP

利用漏洞上传webshell

在EXP中查看webshell执行命令的参数，是cmd

利用webshell执行反弹shell的命令

最终获得www-data用户权限

3. 权限提升

3.1 有效账户：默认账户

服务器中存在3个普通用户

其中vagrant用户存在默认密码，可以获得vagrant用户权限

3.2 滥用特权控制机制：Sudo和Sudo缓存

vagrant用户能以任意用户的权限执行命令，以root用户的权限执行bash命令（sudo命令默认使用root用户的权限），最终获得root用户权限。