记录一次从WordPress后台到拿下主机shell的渗透

从学校某公众号知悉如今能够直接从外网访问校内的几个Web系统。

经过分析，发现只是把几大内网系统经过内网穿透映射到了外网一台服务器的不一样端口上，因此我决定从这台外网服务器开始下手。

 

直接访问域名，发现一个WordPress博客，访问WordPress的默认后台地址，进入后台登陆网页。测试下admin账户和admin密码，提示“ 无效用户名 ”（这里吐槽下WordPress的登陆失败提示功能，一个合格的登陆系统不该该暴露账户是否存在，容易被人暴力破解），说明后台没有账户名为 admin 的帐号。

 

这时我想起本身之前搭建WP博客时用的用户名是一个邮箱，会不会他也是用邮箱登陆？

思路一转，立刻查询这个域名的Whois信息，域名注册人和注册邮箱信息尽收眼底，用注册域名的邮箱去WP后台登陆，果真，登陆失败的提示变了。

说明此账户确实存在，接下来爆破密码。根据域名注册人的姓名，我构造了一个简单的组合弱口令，竟然成功进去，连字典都没用上。

WordPress的后台防护很弱，利用插件上传功能，咱们能够直接上传木马，这里我写了一个接收POST请求的PHP一句话木立刻传到服务器。（之因此不是GET类型木马，是由于中国蚁剑只支持POST类型的木马）

上传成功后就能够直接访问大马了，根据上传时间的年月能够知道木马所在路径为：

http://www.xxx.com/wp-content/uploads/2019/09/wp_tmp.php

 （这里又得吐槽下WP的文件上传功能，一个合格的文件上传功能应该在文件上传后对其进行随机重命名，避免黑客访问到木马）

接着用中国蚁剑链接shell，成功getshell。

进虚拟终端逛下，发现不少有趣的东西，内核版本为Linux 3.10.0，还能够进一步利用脏牛漏洞进行提权，不过笔者决定到此为止。

 

最后创建一个象征性的目录，帮他删掉木马，走人。