主机探活
nmap -sP 192.168.159.0/24
目标靶机IP为:192.168.159.190
端口扫描
nmap -sV -p- -A 192.168.159.190
目标靶机开放端口为:22(过滤了)、80
80端口
wpscan
通过 namp 的扫描结果,发现该网站使用的是 wordpress,利用wpscan扫描
wpscan --url http://192.168.159.190 -e u
找到两个用户,对其进行暴力破解
wpscan --url http://192.168.159.190 -e u -P /usr/share/wordlists/rockyou.txt
要跑好久好久,一直没跑出来。。。
之后跑主题和插件之类的也没跑出来。。。
中间人攻击
之后又尝试了目录扫描和子域名扫描,都没有获得有用的信息
最后去找大佬们的思路,发现是利用了中间人攻击
找回密码
在登陆页面发现存在找回密码功能,但当发送邮件时发现邮件服务器不存在
查找目标邮件服务器
启动 wireshark ,之后按 Get New Password,找到了一个邮件服务相关的包
找到了邮件服务器域名:smtp.tempusfugit2.com
伪造邮件服务器
先本地起一个 smtp 服务
python -m smtpd -n -c DebuggingServer 192.168.159.131:25
ettercap中间人工具
修改配置文件/etc/ettercap/etter.dns
开启ettercap
设置相关网卡,点击对勾启动
设置目标
设置相关服务脚本
重新发送邮件
成功发送邮件
查看之前启动的smtp服务器上的内容
获得一个网址,点击查看
获得新密码:Jvqc4B6Z#YhINoWF,重新登录
成功登录后台
反弹shell
这个没啥写的了,利用wordpress的插件功能上传个脚本插件,运行后获得shell。之前有靶机做过,就不赘述了。
之后的提权需要使用 knocked 服务,还得找一首专辑之类的,太麻烦了,主要是一些思维上的点子,我就不做了。。。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
