1.主機(jī)發(fā)現(xiàn)
netdisconver -r 192.168.133.0/24

圖片.png

nmap 192.168.133.204 -p-看一下開了哪些端口

圖片.png

發(fā)現(xiàn)開了80端口，然后自己瞎點(diǎn)點(diǎn)，發(fā)現(xiàn)有wordpress的東西，貌似css沒加載出來

右鍵查看源碼

圖片.png

看到這些鏈接都是重定向到這些對(duì)應(yīng)的域名，所以想到了在自己本地的host文件，在自己本地的host文件里添加一條dns記錄（事后記得刪掉）

圖片.png

然后發(fā)現(xiàn)網(wǎng)頁的js和對(duì)應(yīng)的css都可以正常加載了，也看不出什么來，直接上wpscan掃，wpscan --url 192.168.133.204/wordpress --wp-content-dir -ep -et -eu

--wp-content-dir <wp content dir>WPScan會(huì)去發(fā)現(xiàn)wp-content目錄，用戶可手動(dòng)指定
--wp-plugins-dir <wp plugins dir>指定wp插件目錄，默認(rèn)是wp-content/plugins
--enumerate | -e [option(s)]  枚舉
u 枚舉用戶名，默認(rèn)從1-10
u[10-20] 枚舉用戶名，配置從10-20
p 枚舉插件
vp 只枚舉有漏洞的插件
ap 枚舉所有插件，時(shí)間較長(zhǎng)
tt 列舉縮略圖相關(guān)的文件
t 枚舉主題信息
vt 只枚舉存在漏洞的主題
at 枚舉所有主題，時(shí)間較長(zhǎng)

掃描出來的結(jié)果如下

圖片.png

只是掃描到了兩個(gè)賬號(hào)，手工試了一下web都登陸失敗了。。。試試ssh,舒服第一個(gè)沒登上去第二個(gè)登上去了

圖片.png

先看一下對(duì)應(yīng)的系統(tǒng)版本
cat /etc/issue、uname -a

圖片.png

一開始ssh登陸進(jìn)去之后，有一個(gè)提示顯示的有一封新郵件，遂去找一下看看,沒發(fā)現(xiàn)什么有價(jià)值的內(nèi)容

切換到web目錄發(fā)現(xiàn)flag2

圖片.png

然后找一下wp的配置文件/var/www/html/wordpress，查看發(fā)現(xiàn)對(duì)應(yīng)的數(shù)據(jù)庫的賬號(hào)密碼，還是root的，netstat -pantu看了一眼3306端口開啟，應(yīng)該是mysql

圖片.png

然后直接通過mysql登陸上去，直接把wordpress的賬號(hào)密碼給改了，前臺(tái)登陸上去之后，發(fā)現(xiàn)了flag3

圖片.png

與此同時(shí)，另一邊的hash爆破也出結(jié)果了

圖片.png

切換成steven用戶，之后sudo -l發(fā)現(xiàn)有提示

圖片.png

然后用python反彈一個(gè)命令行回來
sudo python -c 'import pty;pty.spawn("/bin/bash")直接拿到對(duì)應(yīng)的root權(quán)限