靶机IP:192.168.173.148
nmap端口扫描 开启80,2121端口 ftp连接2121端口,匿名用户登录 下载所有文件 查看note.txt 依次对图片文件 进行密码爆破 在snapchat.jpg中发现一个backup.txt 是个密码的备份 访问80端口 目录扫描 是个wordpress的框架 wpscan --url http://192.168.173.148/wordpress/ -e u 枚举到一个 luna 的用户名 爆破密码失败,联想到ftp中的note.txt “change wordpress password” 查看页面 有个评论 “密码不要有自己的个人信息” 结合上面luna对自己的介绍,尝试生成字典 cupp工具生成字典 再次爆破,得到密码 登录后台 修改主题文件 访问这个文件
wpscan --url http://192.168.173.148/wordpress/ -e u
监听端口getshell 查看用户 查看端口,发现多了一个1212端口 本地nc连接一下 是个ssh服务 用backup.txt中密码登录luna用户 登录成功 sudo -l 可以用juan用户执行exiftool exiftool 可以读取和写入文件,尝试写入.ssh 文件 写入idrsa 为自己生成的公钥文件 然后就是用私钥连接 连接成功 sudo -l 可以用root权限执行check.sh check.sh文件访问 server.hmv 域名 下的一个文件并执行 因为是访问域名,我们可以域名劫持 搭建服务
执行命令 监听端口得到root权限