信息收集
nmap
dirsearch
获取userFlag
在nmap的扫描结果里可以看到一个域名:torrija.thl,所以先把它写入hosts,然后我们上web看一下
web上去后默认页面是这样的,里面我也没有翻到什么有效的信息,通过dirsearch的结果可以发现该站还安装了wordpress,去看一下
之后的话我也是使用wpscan对它进行了用户的扫描,插件的扫描,最终只获得了一个有效用户名administrator,使用这个用户名爆破登录密码或者是爆破mysql的密码都没效果,而插件扫描又很慢。但是这个靶机安装了wordpress,那么突破点应该就在wordpress里,所以我去看了一下wordpress的目录结构:
这里需要重点关注的是wp-content文件夹,wordpress把所有的上传文件、主题、插件都存放在了wp-content文件夹中,每个wordpress的wp-content中默认都包含有以下的四个部分:
- themes【文件夹】
- plugins【文件夹】
- upload【文件夹】
- index.php
wordpress把主题放在了themes目录里,把所有下载和安装的插件放在了plugins里,把所有的上传文件放在了uploads目录里,所以接下来先去看看这三个目录
在uploads里面找到了一个叫w2dc的插件,去搜一下相关的漏洞,然后就搜到了一个本地文件包含的漏洞:CVE-2024-3673
后面按照使用说明操作即可:
整理一下
得到了两个普通用户名,然后后面我试了一下包含其它的文件,都失败了,它好像只能包含/etc/passwd,然后的话就是分别去爆破这两个用户名了
跑出来了一个密码,ssh上去,家目录下拿到userflag
userflag:a07cd1857a92e4c121d1f0268113a735(MD5)
获取rootFlag
当前目录下可以看到一个.mysql_history,看一下里面的内容
这其实就是提示了,说明primo的密码在数据库里,而wordpress中,wp-config.php文件里存储有数据库的连接信息
登录mysql
但show databases并没有看到那个数据库,那说明当前的这个admin用户应该是没有权限,所以看不到,这样的话就只能切root了,但是目前我们只有admin的密码,所以这里可能是一个密码复用
果然,这样就看到了目标数据库了,然后进去拿到primo用户的密码
拿到primo后,sudo -l得到以下结果:
去GTFobins上找提权方案
这样就拿到root了
rootflag:96275c86254a461c569381670c2f40cc(MD5)