測試環境

DC-2：192.168.5.152

Kali：192.168.5.128

資訊收集

區域網內主機存活

埠服務資訊掃描

Hosts檔案解析

輸入IP無法直接訪問web網站，在hosts檔案進行解析後方可

vim /etc/hosts    #vim開啟hosts檔案
輸入
192.168.5.152 dc-2

web指紋識別掃描

網站目錄掃描

發現是wordpress搭站，並且可以訪問wp-admin

GetShell

後臺登陸頁面

嘗試弱口令、萬能密碼等繞過方式失敗

wpsacn使用者列舉

wpscan --url http://dc-2 -eu

暴破後臺

使用cewl命令爬取網頁關鍵詞生成字典，這種字典比較有針對性，成功率大大提高

抓個包，準備暴破

暴破成功

使用者名稱：tom，密碼parturient

使用者名稱：jerry，密碼adipiscing

成功登入到後臺，但是沒有發現上傳點、命令執行等利用點

SSH登入目標伺服器

目標伺服器開啟SSH服務，使用使用者名稱密碼登入到伺服器

提權

rbash逃逸

輸入任何命令都被限制，嘗試rbash逃逸，參考：https://xz.aliyun.com/t/7642 大佬文章

可以使用vi命令，進入vi輸入set shell=/bin/bash

再次輸入shell，進行逃逸

檢視passwd檔案發現逃逸失敗了

新增環境變數

逃逸失敗，原因有很多，這裡參考大佬的思路，新增環境變數/bin

Git提權

切換jerry使用者，sudo -l檢視，發現可以使用git方式提權

輸入 sudo git help config進入git幫助頁面

再次輸入!/bin/bash

成功提權

總結

1、Wordpress搭站配合wpscan工具，可以列舉使用者等資訊

2、拿到shell後，如果限制命令，考慮rbash逃逸，先檢視可以使用的命令，對應逃逸

3、逃逸後執行失敗，嘗試新增/bin/bash環境變數

4、git提權：git -p 以分頁的形式顯示幫助資訊，預設呼叫more展示