记一次未授权的渗透测试

兄弟们看到未授权三个字是不是贼拉激动，一通火花带闪电的就点开了这篇文章。喂？警察叔叔就是这些大黑客对人家站点未授权测试~

咳咳，老夫可不是啥标题党啊，虽然是未授权测试，不过差点被室友打死23333

这次的目标，就是室友从中学起就搭建好的博客，咳咳，不会造成啥实质性的破坏（最多也就是挂个黑页23333），码肯定是要打好的

首先来一波信息搜集（话说他资料其实我有啦）

通过多地ping判断一哈真实IP

扫描端口

一波探测只找到这么几个可怜的服务，emmmm，估计比较难从服务器本身下手，先用他的信息组好字典，3389爆破着，再来看一波他的web应用

Cms用的是wordpress，果断掏出wpscan开跑，检测版本，顺便扫个目录和子域名先~

没想到直接扫出phpmyadmin面板，233333，直接上脚本爆破着先

这边wpscan的信息就仿佛是给我打了鸡血，这货肯定是寒假之后就没咋看博客，关了自动更新还没升级，对于wp的4.9.4版本实际上是有一个任意文件删除的漏洞可以搞（cve- 2018 - 12895）

而他的博客是接受别人的投稿，也就是开放了用户注册的功能的，直接注册一波走起~

没想到注册之后直接是作者权限，小火汁，还是当年太年轻啊

进入后台后直接查看媒体库，随便上传一张图片

上传完图片后记住ID值，构造Payload_0x01http://domain/wp-admin/post.php?post=图片ID值&action=edit

查看网页的源代码，找到_wpnonce，并记录下来

构造

可以看到攻击成功，接下来只要连接到远程数据库，就能完成重新安装wordpress

然后就是各位师傅们轻车熟路的写一句话到配置文件，然后嘿嘿嘿~

妈的居然是phpstudy，还是administrator权限，懒死他得了，先提了再说

成功拿到服务器后上mimikatz，抓一波管理密码

后记：这次说是未授权测试，实际上我是知道室友有备份的，所以敢随便搞，但是在真正对一个公司做测试的时候，没有授权是万万不行的，就是有授权也不能乱搞，真实渗透面对的是生产环境，一个不小心引起的业务中断或延迟就有可能给甲方厂商带来巨大的损失。

文章仅用于普及网络安全知识，提高小伙伴的安全意识的同时介绍常见漏洞的特征等，若读者因此作出危害网络安全的行为后果自负，与合天智汇以及原作者无关，特此声明！