进行信息收集
- 对目标进行ip扫描
arp-scan –interface eth0 192.168.1.0/24
- 进行目标的访问:
发现输入IP之后会跳到wordy,在本地和kali中的host文件中进行配置;
- 进行目标的目录收集:
在进行目标网页翻看时,看到是wordpress,使用
wpscan --url http://wordy/ -e
wpscan --ignore-main-redirect --url 192.168.1.45 --enumerate u --force
然后创建userdc6,来保存扫描到的用户名,在利用kali自带的rockyou来进行密码的爆破:
在进行爆破前,要先将rockyou解压
cd /usr/share/wordlists
ls
gunzip rockyou.txt.gz
Cat /usr/share/wordlists/rockyou.txt | grep k01 > pass.txt
然后将pass.txt放到root下,开始爆破:
wpscan --ignore-main-redirect --url 192.168.1.45 -U userdc6.txt -P pass.txt --force
- 获取到用户名与密码后,进行登录:
通过扫描后,目标开启22端口,
进行连接:
ssh连接失败,然后想起之前扫描出来的目录,进行查看,存在admin,进行访问:
登录mark成功!!
- 然后查询有关wordpress5.7.2版本的漏洞,发现存在远程命令执行漏洞:
漏洞利用方式参考:https://blog.csdn.net/qq_45158261/article/details/107712337
漏洞利用
使用BP抓包,进行漏洞利用:
使用nc进行目标shell的反弹:
创建交互式界面:
提权
- 在目标mark目录下:
发现了用户graham和其密码,进行登录:
sudo -l
在backups.sh中添加/bin/bash
执行sudo -l 发现jens用户可以在无需输入密码的情况下使用nmap(root权限)
绕过方式://.nse后缀可以用nmap打开
成功!!!
参考文章:https://blog.csdn.net/weixin_43870289/article/details/104626404?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522162251348516780264054029%2522%252C%2522scm%2522%253A%252220140713.130102334…%2522%257D&request_id=162251348516780264054029&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2allbaidu_landing_v2~default-1-104626404.first_rank_v2_pc_rank_v29&utm_term=dc%E9%9D%B6%E6%9C%BA6&spm=1018.2226.3001.4187