一、信息收集
端口扫描
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 6.7p1 Debian 5+deb8u4 (protocol 2.0)
| ssh-hostkey:
| 1024 26:81:c1:f3:5e:01:ef:93:49:3d:91:1e:ae:8b:3c:fc (DSA)
|_ 256 0e:85:71:a8:a2:c3:08:69:9c:91:c0:3f:84:18:df:ae (ED25519)
80/tcp open http Apache httpd 2.4.10 ((Debian))
|_http-title: Raven Security
| http-methods:
|_ Supported Methods: OPTIONS GET HEAD POST
|_http-server-header: Apache/2.4.10 (Debian)
111/tcp open rpcbind 2-4 (RPC #100000)
| rpcinfo:
| program version port/proto service
| 100000 2,3,4 111/tcp rpcbind
| 100000 2,3,4 111/udp rpcbind
| 100000 3,4 111/tcp6 rpcbind
| 100000 3,4 111/udp6 rpcbind
| 100024 1 36411/udp status
| 100024 1 41895/tcp6 status
| 100024 1 43931/tcp status
|_ 100024 1 52624/udp6 status
43931/tcp open status 1 (RPC #100024)
MAC Address: 00:0C:29:D9:8E:F9 (VMware)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Uptime guess: 0.054 days (since Mon Jan 15 19:47:51 2024)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=259 (Good luck!)
IP ID Sequence Generation: All zeros
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel目录探测
[20:09:18] 200 - 18KB - /.DS_Store
[20:09:22] 200 - 3KB - /about.html
[20:09:34] 200 - 3KB - /contact.php
[20:09:43] 200 - 763B - /js/
[20:09:46] 200 - 201B - /manual/index.html
[20:10:05] 200 - 811B - /vendor/
[20:10:07] 200 - 1KB - /wordpress/wp-login.php
[20:10:07] 200 - 17KB - /wordpress/在service页面中查看源码就可以找到第一个flag
二、漏洞利用
通过目录扫描发现这是一个利用wordpress搭建,利用wpscan工具针对型探测,最后发现了两个用户名
michael
steven
把两个用户名存储到一个文件使用hydra进行爆破:hydra -L user.txt -P /usr/share/wordlists/rockyou.txt 192.168.1.14 ssh
使用ssh登录michael用户后就看到了第二个flag
在wordpress的配置文件中找到了数据库root的密码
进入数据库后再wp_posts表中找到了第三个和第四个flag
三、提权
在数据库wp_users表中中发现了steven的密码
使用jhon工具爆破得到明文密码:pink84
登录用户使用sudo -l发现python是可以使用sudo提权
直接使用python弹出root权限的对话框
