(1)扫描ip
nmap 192.168.7.0/24
nmap -sn 192.168.7.0/24 | grep -B 2 '08:00:27:DE:1F:77'
![](https://img-blog.csdnimg.cn/img_convert/70f8aec1939bc33c3d750ec54b2c54f5.png)
(2)目录扫描
![](https://img-blog.csdnimg.cn/img_convert/d5908d65d21791f9a2c7ad2695b65616.png)
(3)端口扫描
![](https://img-blog.csdnimg.cn/img_convert/1c6823c2b0dd5afffb1a4ab63d11c5a5.png)
(4)拼接/wordpress/ ,在search随便输入一个值会跳转到localhost
![](https://img-blog.csdnimg.cn/img_convert/afbe75de55215bf156fbfb4b235b9790.png)
![](https://img-blog.csdnimg.cn/img_convert/f2f53478ba6e994a5c7cdeec77decce1.png)
(5)hosts碰撞,发现还是不行
echo 192.168.7.236 localhost >> hosts
![](https://img-blog.csdnimg.cn/img_convert/300ffe9c2e28b5998f707744a320a0b0.png)
(6)在burp加上Response header跟Response body,浏览器挂burp,刷新发现可以正常访问到页面了
![](https://img-blog.csdnimg.cn/img_convert/6cc4caddb35c5383f279ade02261ed44.png)
(7)拼接wp-admin,找到登录框
![](https://img-blog.csdnimg.cn/img_convert/cfcedaed528afd76b488542d1859239b.png)
(8)首页发现有个web用户与后台链接/wp-login.php
进行爆破无果...回退到目录扫描的位置挨个翻看...发现在/img
目录下有个flag
开头的图片保存下来...
![](https://img-blog.csdnimg.cn/img_convert/cd693c7287a1d4aab8084400aec707a6.png)
(9)下载后用exiftool工具查看图片详细信息,也可以用strings查看图片的详细信息
exiftool flaghost.png
strings flaghost.png | grep passw@45
![](https://img-blog.csdnimg.cn/img_convert/d3140c3ec16328d08d1050896ba36a9f.png)
![](https://img-blog.csdnimg.cn/img_convert/24bd7d267099c780a4abd7dfa896e1fa.png)
(10)拿到passw@45,尝试后台wordpress登录,发现不行,尝试拼接,发现是个目录
![](https://img-blog.csdnimg.cn/img_convert/80ce16be26ca6255ba319e60bec42044.png)
(11)打开flag2.txt,解密,得到信息,使用Brainfuck解密
![](https://img-blog.csdnimg.cn/img_convert/4ff8e7c0722c898e158258d780e643d3.png)
(12)账号web,密码Hacker@4514进行登录
![](https://img-blog.csdnimg.cn/img_convert/d6042ba7673ebc8aa7e976e685a7061b.png)
(13)在404目录写入一句话木马
![](https://img-blog.csdnimg.cn/img_convert/84de26e4c509578ea4ed3ee0f2879897.png)
(14)浏览器访问
http://192.168.7.77/wordpress/wp-content/themes/twentynineteen/404.php
![](https://img-blog.csdnimg.cn/img_convert/14723e7011e70c19cdc51e7e1cc32979.png)
(15)蚁剑连接
![](https://img-blog.csdnimg.cn/img_convert/7967c5b4477357c50428653d85601692.png)