主機發現,端口掃描:
添加hosts方便解析。
發現是wordpress,進行wpscan掃描,發現如下用戶:
將用戶全部導出,然後根據靶機官網提示製作字典爆破:
得到密碼登錄成功。
發現存在activity monitor監聽器,本來想通過查看登錄成功是否會記錄密碼,但是發現沒有,最後搜索發現存在命令執行漏洞:
參考文章:http://www.oniont.cn/index.php/archives/257.html
反彈shell:
美化一下:
嘗試SUID提權:
沒有可用的信息。通過翻文件夾找到提示信息:
應該是graha賬戶的登錄密碼,嘗試shell登錄成功。
通過查看sudo權限,發現可以用jens的權限執行一個sh腳本:
查看腳本內容和相關權限:
發現devs組用戶對腳本擁有修改權限,而graha用戶屬於devs組,可以篡改腳本內容反彈shell:
執行腳本:
獲取jens用戶:
美化shell之後查看sudo權限:
舊版的nmap是擁有交互功能的,可以用來提權,看看幫助文件:
版本較新,交互功能已經取消了。還可以通過添加nmap腳本提權:nmap的腳本是使用lua語言寫的,所以添加一個lua語言彈shell的腳本,然後利用nmap的script參數加載:
獲取flag:
