主机发现
nmap端口信息收集
只开放了两个端口。直接去看看web端
没什么可用信息,尝试一下爆破目录
目录爆破
这里很明显可以看到关键字wordpress,一级目录下还有一个dev,去看看
挖呀挖呀挖~~~~
这里我的思路就直接去尝试wordpress了
于是正常的去访问wordpress界面,然后用wpscan扫描探测,但是除了得到一个victor账户信息外没有别的可用信息。此时就应该想到再回到目录扫描这里。
目录扫描最好做两次,第一目录路径扫描,第二,目录敏感文件扫描(加上各种文件后缀,bak,txt,html,php之类)
这里用dirb去跑,没有跑出什么特殊文件,但是用gobuster得到了一些
看一下secret这个txt文件
这里也是说了我们要猜测每一个php文件中是否可能存在一些可利用参数,刚好我们有两个php页面,一个index.php,image.php。同时读取location这个文件!
这里可以用wfuzz去尝试
这里可以在index这个文件下找到file这个参数 hw这个参数就是用来过滤一些信息,这个加上不加上一眼就可以判断出作用。同时wfuzz这里会报错,但是这个错误不影响一般使用,忽视即可。
文件包含利用
直接去读/etc/passwd他会说你在读取一个错误的文件,回想刚刚说的location这个文件提到了next move 那就读这个试试
这里给了另一个参数,那我们继续用这个进行文件包含利用
这里用新的参数在image这个页面就可以读到我们想要的东西了,注意在最后一行他提示了我们去读/home/saket/password.txt这个文件
这个应该就是wordpress的密码了
去登录
对于wordpress系统来说,功能点多出现在appearance和plugins这两个板块,同时漏洞也在这里居多
这里可以在appearance模块下的theme editor中的secret.php编辑代码并且保存上传。这里可以写入一个反弹shell。
推荐大家使用一个小插件
相当于一个小的记事本
写入他给的代码监听本地端口即可,然和去访问这个文件连接。
secret.php的链接可以通过前面的dirb扫描扫到也可以用wpscan扫到。/wordpress/wp-content/themes/twentynineteen/secret.php
提权
这里在/home/saket/user.txt文件中可以得到第一个flag
在简单查看权限以后发现并没有什么明显的提权信息
这里sudo -l提示不用密码去执行 enc这个文件,但是我试了很久也没什么结果。。。。
经过一系列尝试以后我尝试去搜搜系统漏洞提权
这里有两个,我尝试第二个是可以使用的
一个c的源文件,使用也很简单,直接编译就好
感觉c好牛b。。。后面一定好好学c
这里直接python搭一个web服务器然后靶机wget就行
这里保险起见建议去tmp这个目录下,这个目录一般都有全权限。
编译运行就可以得到root。
最终也是在root下找到最后一个flag
总结
这次靶机相对前两次有一点点绕,不过总体还是简单的难度。前几次的算比较容易,这个算容易。
思路就是先利用目录扫描得到目录路径信息,在通过文件扫描得到提示文件,fuzz出参数进行文件包含读取web密码,进入后台执行反弹shell,利用系统漏洞提权。