透過nmap掃描靶機IP有哪個port有開放 發現其中port 80是開放的
進去網頁和原始碼查看後發現沒有什麼有用的資訊後選擇使用dirb進行探測
裡面有phpmyadmin和wordpress,先對wordpress進行wpscan探測
找到裡面有lemon跟orange兩個user,嘗試爆破他們倆的密碼
找到orange的密碼為ginger 而lemon的暫時沒找到先放棄
把lemonsqueezy加入到host
再來登入wordpress 通常路徑為wp-admin
在裡面找到一個可能為phpmyadmin的密碼
登入phpmyadmin
在裡面建立一個簡易的後門
確認有成功建立後門
在web使用連結連到主機
確認有連結成功上
用python -c 'import pty;pty.spawn("/bin/bash")'取得shell
下載LinEnum解壓縮後放到網路上
之後在LemonSqueezy端把他下載下來
給他加上權限並執行
發現裏頭有/etc/logrotate.d/logrotate自動排程腳本
對這個腳本進行修改
把bash權限提升並確認有沒有成功寫入
輸入/bin/bash -p取得root權限
確認提升成功
進入bash
確認身分並移動到root 取得flag