信息收集

首先扫描一下存活主机，这里用fscan扫描

发现目标主机IP:192.168.1.8，其中开放了80，21，443，3306端口，可以先试试21端口ftp匿名登录，发现不行

然后访问80端口，发现导航栏有个phpinfo

phpinfo可以访问，可以获取一些敏感信息，比如绝对路径，版本号等。

没有发现其他东西，可以尝试扫描一下目录。

gobuster.exe dir -u http://192.168.1.8 -w directory-list-2.3-medium.txt

这里扫描出一下几个目录：

/img                 
/wordpress           
/dashboard           
/secret              
/phpmyadmin          
/webalizer

web渗透

依次访问这几个目录，发现secret目录好像是一个字典，应该是让我们爆破用，注意复制到txt时候要另存为ANSI编码，要不然爆破出问题

/phpmyadmin 是禁止访问，/webalizer是一个索引界面，但是没东西，img只有两个图片，看到有/wordpress，可以尝试从这个入手。不过官方的wpscan工具要用docker去运行，所以换一个工具。要注意的地方是，当我们访问wordpress目录时布局是混乱的，我们可以尝试输入wp-admin，发现会跳转到http://armbjorn/这个url，所以我们要添加hosts：192.168.1.8 armbjorn。这样就正常了。

这个工具可以爆破出用户名ragnar，结合前面给的字典可以爆破登录密码，这里还是用msf来进行爆破吧，在win下渗透还是没有kali方便点。

use auxiliary/scanner/http/wordpress_login_enum
set rhosts 192.168.1.8
set targeturi /wordpress/
set username ragner
set pass_file C:/Users/anhunsec/Desktop/dic.txt
run

4K多个字典也是醉了，老外真会玩。爆破得很久，慢慢等吧

爆破出来密码得ubbe，成功登录

翻一翻哪里可以上传的地方，一般wp可能存在的是插件上传，主题上传，当然主题页面编辑之类的也可以替换成webshell，最后在主题编辑页面中有个404.php比较方便去修改，不会造成主题崩溃。

当然还得先找到404页面在哪个url路径，这样才知道写的webshell在哪里了。

根据首页的源代码查看，发现该主题的css是在http://armbjorn/wordpress/wp-content/themes/twentytwenty/print.css?ver=1.5这个url，那么就知道主题根目录应该是这个了：http://armbjorn/wordpress/wp-content/themes/twentytwenty/

访问下404页面，可以访问

那么写个webshell上去了，这里写个冰蝎4.0的马上去了，然后连接webshell

接下来就是进行提权了。

权限提升

之前信息收集有提到过，开放了phpmyadmin，ftp服务。那么就可以先找找数据库连接文件，一般是在wp-config.php上

/** The name of the database for WordPress */
define( 'DB_NAME', 'joomla' );

/** MySQL database username */
define( 'DB_USER', 'joomla' );

/** MySQL database password */
define( 'DB_PASSWORD', 'joomla' );

/** MySQL hostname */
define( 'DB_HOST', 'localhost' );

/** Database Charset to use in creating database tables. */
define( 'DB_CHARSET', 'utf8mb4' );

/** The Database Collate type. Don't change this if in doubt. */
define( 'DB_COLLATE', '' );

账号密码都是joomla，不过连接进去后翻一翻，想到进数据库好像没什么用啊。前面扫描到的phpmyadmin是要本地才可以访问，不过直接访问数据库也可以，根本就不用phpmyadmin。

那么数据库这条就放弃，目光转向到了ftp，在访问home目录已经知道用户名有一个ragnar。那么直接爆破吧。还是题目直接给出的字典去爆破。

爆破成功，得到ftp密码是lagertha，不过连接进去后还是web站点的文件

想到ftp的密码会不会也是这个用户系统的密码？不过突然想起来，还得反弹一个shell回来比较方便，冰蝎的命令执行好像不好操作shell，而且好像反弹不到处于另外一个网段的攻击机。那就反弹到公网的VPS上吧。。不过还是好麻烦啊，目标主机没有python，nc啥的反弹出来的也是非常规shell，msf的反弹还好有给你输入su切换用户的密码。

经过一番寻找，在用户根目录下有个secret文件，cat出来发现是root用户名和hash密码。那么我们就可以弄到本地进行hash破解，使用john工具。

root:$6$hPrOGn8aOKa2ZMJm$gGKkorDjENhohzGBojBLO3ABOJEP/DjMtjRRl6FBlNAc.l.BnoH8rMWtWZiJGCTt2Nq5e7DFe51RRRTXjzN5h.

还得求助于kali，john工具没有windows版本

john --wordlist=/usr/share/wordlists/rockyou.txt /root/桌面/hash.txt

已经爆破出root用户的密码是kevinmitnick

完结撒花。