noone___'s blog
0%

学长的任务罢了8-beelzebub

发表于 分类于
这个有点幽默,不好评价

  • 扫描打点

    80 端口里是 phpmyadmin 4.6.6

    这里看到状态码为 200index.php 返回的界面是 404 ,结果发现是自己写的伪装 404 的页面,在注释里找到要 md5 加密

    加密出来是 d18e1e22becbd915b45e0e655429d487

    然后房间被扫崩了,重开一下

    那继续扫 192.168.56.109/d18e1e22becbd915b45e0e655429d487

    翻了一下看到是 wordpress 的站,准备用 wpscan

    注意这里的参数

    wpscan --url http://192.168.56.109/d18e1e22becbd915b45e0e655429d487/ -e u --ignore-main-redirect --force

    拿到两个用户名

    valak krampus

    然后又崩了,重开没用,重新导入一下

    在刚刚的扫描结果里面去看看 uploads

    wp 发现这里的 cookie 藏着密码 -_-

    M4k3Ad3a1

    ssh ,第二个用户 krampus 可以连上

  • 提权

    • sudo -l 不行

      看别的时候佬提示看 .bash_history ,确实有些忽略了

      看到一个历史提权脚本,跟着history复现一下即可

      然后又崩了