raven

1.主机发现
netdisconver -r 192.168.133.0/24

图片.png

nmap 192.168.133.204 -p-看一下开了哪些端口

图片.png

发现开了80端口，然后自己瞎点点，发现有wordpress的东西，貌似css没加载出来

右键查看源码

图片.png

看到这些链接都是重定向到这些对应的域名，所以想到了在自己本地的host文件，在自己本地的host文件里添加一条dns记录（事后记得删掉）

图片.png

然后发现网页的js和对应的css都可以正常加载了，也看不出什么来，直接上wpscan扫，wpscan --url 192.168.133.204/wordpress --wp-content-dir -ep -et -eu

--wp-content-dir <wp content dir>WPScan会去发现wp-content目录，用户可手动指定
--wp-plugins-dir <wp plugins dir>指定wp插件目录，默认是wp-content/plugins
--enumerate | -e [option(s)]  枚举
u 枚举用户名，默认从1-10
u[10-20] 枚举用户名，配置从10-20
p 枚举插件
vp 只枚举有漏洞的插件
ap 枚举所有插件，时间较长
tt 列举缩略图相关的文件
t 枚举主题信息
vt 只枚举存在漏洞的主题
at 枚举所有主题，时间较长

扫描出来的结果如下

图片.png

只是扫描到了两个账号，手工试了一下web都登陆失败了。。。试试ssh,舒服第一个没登上去第二个登上去了

图片.png

先看一下对应的系统版本
cat /etc/issue、uname -a

图片.png

一开始ssh登陆进去之后，有一个提示显示的有一封新邮件，遂去找一下看看,没发现什么有价值的内容

切换到web目录发现flag2

图片.png

然后找一下wp的配置文件/var/www/html/wordpress，查看发现对应的数据库的账号密码，还是root的，netstat -pantu看了一眼3306端口开启，应该是mysql

图片.png

然后直接通过mysql登陆上去，直接把wordpress的账号密码给改了，前台登陆上去之后，发现了flag3

图片.png

与此同时，另一边的hash爆破也出结果了

图片.png

切换成steven用户，之后sudo -l发现有提示

图片.png

然后用python反弹一个命令行回来
sudo python -c 'import pty;pty.spawn("/bin/bash")直接拿到对应的root权限