一、主机发现
arp-scan -l
二、端口扫描、目录枚举、指纹识别
2.1端口扫描
nmap -p- 192.168.55.147
发现22端口关闭,且无其它特殊端口,只能去网页中寻找信息
2.2目录枚举
dirb http://192.168.55.147
2.3指纹识别
nmap 192.168.55.147 -sV -sC -O --version-all
指纹识别没有发现重要信息
三、进入靶机进行信息收集
进入靶机后发现一直在播放动画,输入prepare后,发现动画中有一个域名,但是也访问不到
这个靶机的其它关键词也没有提示什么信息,看看目录枚举的结果
访问刚刚扫描出来的目录发现这个是wordpress的站
发现他不会帮助我们
继续寻找敏感目录
发现robots.txt文件,尝试将以下内容拼接到192.168.55.147后面
其中fsocity.dic被下载下来,感觉是枚举时使用的文件
这个key应该就是第一个key
在登陆页面发现有忘记密码这个功能点,尝试爆破用户名,字典就是刚刚下载下来的
发现Elliot这个用户的状态码是500,该用户大概率是存在的
在登录页面中使用Elliot用户名,只进行密码爆破即可
也可以尝试使用wpscan进行爆破
wpscan --url http://192.168.55.147 -U Elliot -P fsocity.dic -t 50
注:该字典文件有很多重复的,可以先去重再跑
去重跑很快就可以跑出来账号和密码
Elliot
ER28-0652
成功登陆
四、反弹shell
wordpress的插件有很多的漏洞
这里可以在插件中进行反弹shell,也可以在Appearance中进行反弹
选择404.php文件,将kali自带的反弹shell脚本复制粘贴在此处
点击update
然后访问该文件
http://192.168.55.147/wp-admin/404.php
成功反弹shell
五、提权
5.1靶机信息收集
5.2第二个key
进入robot目录中找到了第二个key
5.3nmap提权
使用find命令查找suid权限的文件
find / -perm -4000 -print 2>/dev/null
找到了nmap可以进行提权
这里的nmap不能直接使用,环境变量的问题,需要使用绝对路径
尝试第一种方法,发现提权不成功,版本在第二种提权方式范围内,尝试第二种方式
/usr/local/bin/nmap --interactive
!sh
提权成功!