信息收集
漏洞发现
发现无法访问web
加个hosts
这题类似那个dc2还是dc3,网站长的一样
wordPress5.1.1
上wpscan扫
enumrate一下user 看看能不能弱口令
测了wp给的那几个用户,都不能弱口令,dirsearch也没扫到什么有价值的路径
尝试ssh弱口令
没爆出来,回官网看了下描述
确实是弱口令,但是我的字典差着了,给了提示就用吧
账号mark 密码 helpdesk01
登录后台
尝试使用相关插件漏洞
发包,然后拿到反弹的shell
提权
优化shell
用LinEnum.sh遍历脆弱性
没发现什么可以利用的
回去翻home目录ls -al看看文件
发现jens用户下有一个backup.sh
然而我们不是devs组的,没法写这个文件
继续看
发现mark下有个stuff文件夹
其内存在一个txt文件
里面暴露了graham的账号
尝试ssh登录
登录上发现graham是该组的
sudo -l看看有什么可用的
发现我们可以以jens的身份去运行backups.sh文件,且我们可以写这个sh文件,那么我们就可以拿一个jens用户的shell了
可以尝试nmap提权
TF=$(mktemp) echo 'os.execute("/bin/bash")' > $TF sudo nmap --script=$TF
这时候其实就拿到root权限的用户了,但是是看不见自己打了什么命令的,盲打一个优化shell
结束
