按照常规,ifconfig查看 自己的全部信息,得到,攻击机的IP 192.168.70.132,然后,nmap -sV 攻击机IP/24 ,扫描所有开放的端口服务。
尝试使用空口令登录(提示输入密码直接空密码),打印驱动、一个共享文件夹share$和一个空链接。
ls查看当前文件夹,share$里发现许多敏感文件,用get下载下来到本地查看,其中deet.txt泄露了一个密码12345;
wordpress目录下的config是个配置文件(小文件用cat看,大文件用gedit看)(一般配置文件都是泄露了用户名和密码),发现泄露了数据库的用户名和密码。
发现一个可以的php文件,我们把他get下来,
发现了一个用户名和密码,一眼就看出了admin。
通过浏览器访问对应靶场http服务(http://ip:http端口号)
2、使用探测工具探测http目录文件(dir http://ip:http端口号、nikto -host ip)
探测得到一个含有admin的可疑文件,发现/wordpress/wp-admin/这个后台管理登录页面(。。开发后台的人都知道这是后台管理登录页面?)我们把链接在Firefox打开,
需要登录?正好刚才找到了一个用户名密码,输入进去,登陆成功。
接下来开始制作webshell.
上传到theme的404界面,然后访问404.php获得反弹的shell
在后台管理界面appearence的editor可以找到404页面,把代码全部改成webshell里的,上传!
然后通过固定路径http://靶场IP/wordpress/wp-content/themes/twentyfourteen/404.php访问webshell(固定路径怎么来?当前主机又要改成fifiteen,看404界面提示是什么就改成什么,比如我的就是twentyfifteen)
启动监听
然后 把Desktop中的东西复制到404页面。
目的是让他反弹回shell,
首先我们以普通权限对靶机进行操作,
优化终端:(python -c "import pty;pty.spawn('/bin/bash')")
提权前常用命令 cat/etc/passwd
使用cat /etc/passwd/查看当前系统的其他用户名
(注意home目录下)发现个togie用户,su togie去切换到togie目录
密码用之前发现的12345登录成功。
还是要去切换到root权限,用sudo -l查看su能执行哪些操作,然后用sudo su来提升权限...