发现目标主机
使用nmap扫描整个网段,发现目标主机
nmap 192.168.1.0/24
扫描目标主机开放端口
通过扫描端口发现,目标机器只开放了一个端口
nmap -A 192.168.1.11
仔细查看扫描结果发现http-tittle后面有一段base64加密的内容
解码后得到明文内容
echo dG9vIGVhc3kgbm8/IFBvdHRlcg== | base64 -d
既然服务器只开放了80端口,我们就打开网页看看
打开之后看到首页是Apache的默认页面
查看一下源码
在源码的最底部发现了一个提示信息让我们访问/alohomora页面
查看源码中的提示页面告诉我们Draco's password is his house ;)
我们先扫描一下网站目录
dirb http://192.168.1.11
通过扫描目录发现一下目录可以访问
+ http://192.168.1.11/index.html (CODE:200|SIZE:10977)
+ http://192.168.1.11/log (CODE:200|SIZE:45)
+ http://192.168.1.11/phpinfo.php (CODE:200|SIZE:83292)
index.html
这个是Apache的默认页面,就不看了
log
给了一个提示页面
访问后发现是一个Wordpress站点
log页面pass后面的内容通过base解码
既然网站时Wordpress先用WPScan测试一下
wpscan --url http://192.168.1.11/DiagonAlley/ --enumerate u
通过扫描用户我们得到一个后台的用户名:draco
得到用户名后对密码进行爆破得到密码slytherin
wpscan --url http://192.168.1.11/DiagonAlley/ -U draco -P /usr/share/wordlists/rockyou.txt
成功登录后台
简单查看网站之后发现网站并不是英文,但是也无法切换到中文,最后只能切到英文勉强的看看
通过修改模板getshell
使用蚁剑进行连接
查看用户权限发现是www-data权限
查找flag发现在/home/dobby/有一个flag文件
在查看文件时发现并没有cat命令
最终通过more或less命令查看拿到flag
既然find命令可以使用,顺便看一下有没有SUID提权
find / -perm -u=s -type f 2>/dev/null
执行后发现find被设置了suid权限
使用find执行命令发现时root权限
经过一番挣扎最终还是没有提权成功
就直接将/root目录的权限改为777
然后直接查看flag
扫描二维码
获取更多精彩
NowSec