靶机ip:10.10.202.26

信息收集

nmap扫描

nmap --min-rate 10000 -sS -sV -sC 10.10.202.26

image-20241009200954547

发现22,80等端口,但是ssh服务关闭了

80端口

image-20241009201522229

默认页面是一个类似于linux终端的界面,正常的命令执行不了,只能执行页面提供的命令

每个命令都测试了一下,并没有什么她特别重要的信息,先扫描一下目录

gobuster dir -u http://10.10.202.26/ -w /usr/share/wordlists/dirb/common.txt

image-20241009203013287

结果很多,但是可以看出来这是一个wordpress的站

后台getshell

先查看一下哎robots.txt

image-20241009203645784

image-20241009203724196

找到第一个key

另一个文件fsocity.dic访问后自动下载了

image-20241009204036224

打开后是个字典

接着访问扫描出来的结果时,发现在/license文件下有信息

image-20241009204822920

很像base64编码,解码试试

image-20241009204958248

得到一个用户名密码:elliot:ER28-0652

尝试登陆wordpress

image-20241009205215191

没想到这是个admn用户,赚翻啦

直接kali监听一手

image-20241009210505770

将准备好的php-reverse-shell.php写在404.php

image-20241009212106883

设置好ip和port后保存

浏览器访问http://10.10.202.26/theme/twentyfifteen/404.php

image-20241009212844443

拿到初始权限

提升至user权限

切换交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

image-20241009213059186

/home下有robot用户,进入之后发现第二个key,但是我们查看不了,我们能查看另一个文件,根据其内容可以判断出这是robot的用户名和密码

将密码保存到文件hash中,用hashcat离线破解试试

hashcat -a 0 -m 0 hash /usr/share/wordlists/rockyou.txt

image-20241009213504820

破解成功,拿到robot用户的明文密码abcdefghijklmnopqrstuvwxyz

image-20241009213612441

image-20241009213647123

拿到第二个key

提升至root权限

先尝试sudo -l

image-20241009214043116

ok,不让用

find查一下特权命令

find / -perm -u=s -type f 2> /dev/null

image-20241009214110829

发现有nmap,可以利用nmap提权

image-20241009214558352

提权成功

image-20241009214640433

/root目录下找到最后一个key