目录
1:题目背景
WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统(CMS)来使用。WordPress是一个免费的开源项目,在GNU通用公共许可证下授权发布。
2:题目描述
一个网站是以Wordpress最新版本搭建,不存在已经发现的漏洞。这一关你需要爆破管理员账号密码,打开网站根目录的key.php文件,获取key。
3:答案提交
1、提交得到的key。
2、请提交操作过程报告,报告中要包含操作的关键过程描述并附截图,以WORD方式提交。
4: 提交key
key:hi wordpress
5: 关卡环境
VPC1(虚拟PC) | 工具场景:Windows XP操作系统/BT5 |
VPC2(虚拟PC) | Window server xp |
软件描述 | 使用工具场景集成的工具软件,参赛者也可以上传工具软件软件到工具场景。 |
关卡环境描述 | 1、学生机与实验室网络直连 2、VPC与实验室网络直连 3、学生机与VPC物理链路连通 |
6:参考步骤
1.打开浏览器,访问http://192.168.102.62。
2.使用kali下的wpscan扫描站点的用户。
使用命令:wpscan --url “http://192.168.102.62” -e u
3.将密码字典放在桌面。
使用命令:wpscan --url “http://192.168.102.62” --username admin --wordlist /root/Desktop/password.txt
4.使用得到的账号密码登录。后台打开外观->编辑->首页模板。
5.粘贴上webshell 代码,保存,访问主页,密码为412587。
6.打开key.php,得到key:hi wordpress