Stapler

扫描ip

1

扫描端口

图片.png

试试ftp是否开始匿名登录,发现存在一个note文件,没什么有价值的内容

ftp 192.168.133.218
用户名:anonymous
密码为空
get 文件名

访问80端口直接404

图片.png

扫目录发现有两个文件

图片.png

下载下来,也没发现什么有价值的内容

刚才扫端口发现139时开启的,然后用enum4linux扫描一下SMB的相关信息,发现有两个活动的用户

图片.png

然后使用smbclient //192.168.133.218/kathy -I 192.168.133.218 -N连接对应的用户

图片.png

发现有两个目录,分别把里面的文件下载下来
get todo-list.txt

然后登录到另外一个用户smbclient //192.168.133.218/tmp -I 192.168.133.218 -N

图片.png

发现里面有一个名为ls的文件,一起下载下来,看了看下载的文件都没什么有用的线索,其中还有一套WordPress的源码,但是里面没有mysql的账号密码...没什么用

最后还剩下一个12380端口,竟然把网站开在这个端口上....

图片.png

用nikto扫一波,发现两个目录

图片.png

访问一下也是没什么反应

扫描结果显示,这个网站上有ssl,那也就说明https是存在的

图片.png

接着访问上面那两个目录

图片.png

第一个会显示一个弹窗如图,然后会重定向到一个网站上

图片.png

第二个是一个WordPress的博客

然后顺势的想到用wpscan扫描一波,这里要注意一下,因为对应的网站ssl证书有问题,所以需要加上一个--disable-tls-checks的参数

扫描发现https://192.168.133.218:12380/blogblog/wp-content/存在一个目录遍历

图片.png

挨个目录翻一下

图片.png

然后发现一个视频播放器的目录

图片.png

里面的readme文件,有版本号,直接去searchsploit搜一下

图片.png

修改对应的exp,添加相应的内容,我们这个是https,所以需要在脚本中添加

import ssl 
ssl._create_default_https_context = ssl._create_unverified_context#取消全局证书验证

图片.png

脚本执行成功后我们去访问upload目录
https://192.168.133.218:12380/blogblog/wp-content/uploads/把里面的对应的图片文件下载下来,查看图片得到mysql账号密码

图片.png 图片.png

查询数据库

show databases;
show tables;
select * from wp_users;

图片.png

直接扔到网上解密一下

图片.png

拿到密码登录后台

图片.png

适应对应的installed功能把我们的webshell传上去,上传成功之后shell文件放在upload目录下

图片.png

在自己本地用nc开启监听,在浏览器里访问

图片.png

剩下的提权很难受,提权多次都不成功,后来上网上借鉴了一下大佬的wp,才成功

---

uname -a

图片.png

提权脚本下载:https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip

使用里面的exploit.tar进行提权

./compile.sh
./doubleput

图片.png