1.掃描主機

nmap掃描端口發現有22和80

2.對http 80端口進行測試

web服務把ip地址轉換成了域名訪問，我們這裏需要修改host文件，把ip地址和wordy這個域名進行對應就可以訪問。


這裏是一個wordpress的網站，我們掃描一下具體的版本信息

使用wpscan獲取wordpress的用戶名


然後進行了各種各樣的爆破。。。最後在下載靶機的網站上看到了作者的提示。

我們需要從rockyou.txt中提取包含k01的內容作為字典


根據提示，我們獲取到字典，然後使用wpscan的爆破功能去對4個用戶的密碼進行暴力破解，最終獲得一個用戶mark的密碼

這裏我們就可以登錄管理頁面，但是沒發現什麼有價值的東西，接下來我們繼續用wpscan掃描一下插件


這裏我們發現這個plainview-activity-monitor的20161228版本是存在命令執行漏洞的

3.漏洞利用

我們查看一個poc

這裏可以看出來在activity_monitor插件的activity_tools中，post的內容可以通過分割符｜來執行系統命令，poc中直接用nc監聽了端口反彈shell
操作並不複雜我們可以手動來操作

首先找到命令執行的比特置，然後使用burpsuit來修改我們post的數據內容



這裏我們就成功登錄了服務器

4.提權

這裏我們還是首先查找suid的命令，但是沒找到可以利用的命令

然後發現jens的家目錄中有一個backups.sh是有執行權限的
mark家目錄中有一個文本文件

backups.sh是一個簡單的備份命令
但是things-to-do.txt中顯示了用戶graham的密碼，記得我們之前nmap掃描出的端口還有22端口，所以我們直接使用graham用戶ssh登錄

然後我們查看graham用戶有什麼高權限的命令

發現只可以修改jens中的那個備份文件，我們修改文件來獲得jens的shell



這樣我們就獲得了jens的權限
接著我們繼續套娃

發現jens可以使用root的權限運行nmap
這裏nmap是可以運行.nse結尾的脚本文件，脚本文件遵循Lua語法，所以我們可以使用os.execute()讓nmap來執行系統命令

使用sudo來運行nmap，使用shell.nse脚本，就可以獲取到root權限的shell，這裏shell不回顯我們輸入的內容，沒有太大影響，在root的家目錄中有flag。