端口扫描

Web

打开80端口是一些不明所以的界面，花里胡哨的很符合对嗨客的印象（

用gobuster扫一下目录

gobuster dir -u http://10.10.155.86/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

扫出来的大概是这些目录，每个目录都要简单的翻一下

在/robots目录可以找到两个文件，访问看看

第二个文件就是key1

073403c8a58a1f80d943455fb30724b9

第一个下载完打开感觉像是密码的字典？

既然有wordpress，那就上WPscan扫一下

wpscan --url http://10.10.155.86/

可以看到主题又是这个熟悉的twentyfifteen

本来想着是不是wordpress的用户名是user，然后指定用户名去爆破密码的，发现爆不出来

看了下WP，在登录界面，会提示用户名是否正确，用户名不存在则会提醒Invalid username，存在则会提醒密码不正确，根据这个特性，可以用burpsuite来测试用户名，利用之前我们下载得到的字典

右键发送至Intruder

把用户名添加为爆破点

payload则添加下载得到的字典，start attack

我这里还没爆破完，但是已经找到了一个用户名Elliot,自己在测试一下，果然是正确的用户名

然后就是爆破密码，在WP中学到一招

sort fsocity.dic | uniq>fsocity_sorted.dic

可以把字典排序然后去重，可以大大减少爆破量

可以看到减少的不是一点两点，去重后还是一个意味深长的数字（

然后就可以用WPscan爆破了

得到密码为：ER28-0652

接下来就是熟悉的在Appearance的编辑页面为reverse shell,详情见“Internal”那个靶机的文章

不知道为啥这次改index.php连不上，那就改404.php文件吧

python -c "import pty;pty.spawn('/bin/bash')"

生成更好的交互式shell

在/home/robot中可以找到第二个key，但是发现所有人是robot，那一开始的思路就是转移到robot的用户

但是我们还看到了一个password.raw-md5,可以查看

robot:c3fcd3d76192e4007dfb496cca67e13b

得到robot密码为abcdefghijklmnopqrstuvwxyz

key2:822c73956184f694993bede3eb39f959

第三个key应该要提权才能得到了，THM的提示是nmap

在看了比较常用的sudo -l 和cat /etc/crontab之后都找不太到提权的点，那就试着找一下SUID或者SGID

find / -type f -a \( -perm -u+s -o -perm -g+s \) -exec ls -l {} \; 2> /dev/null

在这里找到了提示所给的nmap

也就是说，能用权限所给的身份（也就是root）来运行nmap，nmap有一个功能也就是生成shell

cd至这个目录，成功提权

找到第三个key

04787ddef27c3dee1ee161b21670b4e4

还是挺有意思的一个靶机，对字典的处理还是挺重要的