# 靶机搭建

直接打开,导入,修改网卡为 NAT 模式

IP 地址: 192.168.174.131

# 渗透过程

# 信息初收集

21/tcp open  ftp
22/tcp open  ssh
80/tcp open  http

使用 ftp 用户登录 ftp 看看,有一个用户列表的备份文件

21/tcp open  ftp
22/tcp open  ssh
80/tcp open  http
```plain
abatchy
john
mai
anne
doomguy
abatchy
john
mai
anne
doomguy

扫描路径发现存在 robots.txt,打开后发现一个敏感目录 /backup_wordpress/

wordpress 的网站,非常恶心,探测一下指纹

Apache[2.2.22], Country[RESERVED][ZZ], HTML5, 
HTTPServer[Ubuntu Linux]
[Apache/2.2.22 (Ubuntu)], 
JQuery[1.12.3], 
MetaGenerator[WordPress 4.5], 
PHP[5.3.10-1ubuntu3.26], 
PoweredBy[WordPress,WordPress,], 
Script[text/javascript], 
WordPress[4.5], 
X-Powered-By[PHP/5.3.10-1ubuntu3.26]

wpscan 启动,没发现插件什么的,那就是爆破了,rockyou 启动

得到账号密码: john/enigma

# wordpress 修改模板 getshell

登录一下,通过修改 404 页面拿反弹 shell,修改后访问一个不存在的文章,shell 直接就来了

# 提权

找了一圈没有什么发现,尝试使用 john 账号登入 ssh,发现也不行

那就只有爆破了啊

使用 hydra 进行 ssh 爆破,得到账号 anne/princess

发现有 sudo 权限,拿到 shell

# 小结

这个靶场好像没有什么太大价值,爆破就能拿到 root 权限

可以尝试其他方法,但是真的没必要的时候我就喜欢犯懒 ==

希望之后的靶场能直接封堵我偷懒的行为