实在想不到不是我没想到，而是字典有问题~~

另：从这篇博文开始就不给出某一些简单的命令行代码了

DC-6

基础信息收集

NMAP Result：

其它的收集就不展示了，因为也没怎么用到。

SSH服务和HTTP服务，emmm，来来去去都这两个啊~~

和之前的一个靶机套路一致，加一下HOSTS文件本地域名解析才能正常打开。

枚举用户

网站上基本找不到啥有用的信息，用wpscan看看：

wpscan --url http://wordy

给出了WP版本和主题的版本：

搜了一下exploit-db，不能直接搞，那看来还是得走别的途径了。

枚举一下WP的用户：

wpscan --url http://wordy --enumerate u

爆破密码

讲道理，这里我也爆破过，用的字典是：cirt-default-passwords.txt，一开始没爆出来，我还以为不是这个思路，还纠结地找了别的半天的突破口，后来百度Writeup，心态崩了，原来是我的字典有问题~~

根据别人的Writeup做法，使用Kali的Rockyou字典爆破，然后：

这不对劲，这得爆破到猴年马月去，不对不对！

然后大师傅给出了这张截图：

我。。。我懂了，我悟了！

cat rockyou.txt | grep k01 > pwd.txt
wpscan --url http://wordy/ -U user -P pwd.txt

噢，总算爆破出来了。。。

命令行注入

登录后，随便逛了逛，然后找到了这个：

嗅到一丝命令行注入的气息，于是打开了Burp测试：

居然真的是，这。。。这么简单的么？

反弹shell

直接反弹一个shell回来开始最后的阶段╮(╯▽╰)╭

找找home目录下有没有啥线索：

backups.sh引起了我的注意：

确实只是一个备份的脚本，看下一个人的home有啥：

这个就有趣了：

直接给出了graham的密码，芜湖~~

提权

ssh连上去看看：

成功连上，检查内核看看是否有内核提权：

搜了一下，没有。。

发现sudo有一个脚本的权限：

脚本的内容之前看过，

可读可写，那么在文件最后加一行：

然后就可以切换到jens用户了：

再次找到sudo的特殊权限：

nmap提权应该算是挺简单的(了解过nse就好)，去/tmp目录写一个nse脚本用于提权：

echo 'os.execute("/bin/bash")' > /tmp/escape.nse

然后用nmap加载这个脚本：

END~~╮(╯▽╰)╭

感觉最近提权的套路好像都是这些╮(╯▽╰)╭