1.nmap -sn -n 192.168.0.0/24 (找靶机ip)
找到ip查看一下网页看是否有利用价值的信息 (发现并没有什么卵用)
2.nmap -sS -A -p- -n +靶机ip
发现80端口使用的是wordpress框架
3.dirb http://+靶机ip (扫描目录看有无可用的信息)
访问一下robots.txt页面
发现指向都是wp-admin目录
但访问过去wp-admin是一个404页面
wp-admin/admin-ajax.php就更离谱了只有一个0
那我们访问上面还有一个tasks的网址
这里提示了有可能是个用户名,还有个临时账户名在数据包里
4.我们紧接着上面的信息把数据包下载下来搜集有利信息
通过过滤命令http 发现了有用的信息
甚至发现了好几个jarrerlee用户的密码
(家人们咱就是说这有点忒离谱了吧)
(悄咪咪说一下这下面几个密码都是错的)
↓ ↓ ↓
另外我们回顾上面的目录扫描还有phpmyadmin
但我们尝试了所有密码都登不进去
我们回想之前扫描出来的端口有6777端口显示为ftp,所以我们可以尝试ftp登录嘛
查看一下有无可利用文件
ftp +靶机ip 6777
密码上面数据包找到的 NoBrUtEfOrCe__R3Qu1R3d__
看到一个backups备份文件我们下载来看一下
get .backups
cat .backups
base64解密它,然后写入一个文件,用工具john解密查看
建议使用kali2021的嗷,老版本毛病多我也用不明白这个工具john
sudo john --rules --wordlist=/usr/share/wordlists/rockyou.txt base64.txt
破解出来密码为 hannahmontana (别用这个去尝试phpmyadmin嗷,错的)
想必有用嚯嚯嚯
5.我们上面dirb目录扫出来还有一个secret网页没有看
没错一进去看!喔哦!wp!熟悉的感觉又回来啦!!哈哈哈哈哈
然后我们进去之后发现草稿箱有一串base64密文
然后我们把它解密出来 针不戳哈哈哈哈哈哈哈真好玩
解密结果 @lways-@-Sup3r-Secur3-p@SSw0Rd!!
5.然后我们就可以用它登录上面发现的phpmyadmin网页啦
我们来查看一下wordpress用户名和密码
我们来修改一下它的密码
UPDATE `wp_users` SET `user_pass` = '$1$yt2n44XO$jU148IfWAYDS90CQHfwDH1' WHERE `wp_users`.`ID` = 4;
6.我们返回wp-admin页面登录一下charleywalker用户
密码:NoBrUtEfOrCe__R3Qu1R3d__
我们去使用本机自带木马,将ip改为本机ip,然后上传它
我们开启监听
7.我们去访问404页面
再返回终端一看哦哦哦!!!
没错你进去了
whoami看下用户
然后优化终端
python3 -c ‘import pty;pty.spawn(“/bin/bash”)’
然后我们切换用户哪个用户嘞!!
就是我们之前ftp破解出来的那个
用户名jeevan 密码hannahmontana
8.使用docker提权
查看flag
网上找到的docker基本提权命令 (看看就好我也不太懂)
就非常的nice啦
哈哈哈哈哈
这个靶机还挺有意思的鹅鹅鹅鹅鹅鹅鹅鹅鹅