wpscan

靶场下载链接： Download: http://www.five86.com/downloads/DC-2.zip Download (Mirror): https://download.vulnhub.com/dc/DC-2.zip Download (Torrent): https://download.vulnhub.com/dc/DC-2.zip.torrent ( Magnet) 提权辅助工具LinEnum下载： https://download.csdn.net/download/weixin_41082546/11609409 提权辅助工具linuxprivchecker下载： https://download.csdn.net/download/weixin_41082546/11609428 首先获取目标主机ip netdiscover -i eth0 -r 192.168.88.1/24 对端口进行扫描，只开放了web服务 于是访问web 这里配置本地dns解析，将目标ip地址添加进hosts 成功访问，发现是wordpress。 此处提示我们使用cewl生成一个通用的字典，并且告诉了我们flag的位置。 先使用dirb 做一个简单的目录扫描 dirb http://dc-2/ 发现后台地址 http://dc-2/wp-login.php?redirect

靶机地址： http://www.vulnhub.com/entry/five86-2,418/ 本文涉及知识点实操练习：相关实验： VulnHub渗透测试实战靶场Node 1.0 （Node 1.0 是一个难度为中等的Boot2root/CTF挑战，靶场环境最初由 HackTheBox 创建，实验目的是获取两个flag） 技术点总结 • 对WordPress网站的渗透 – wpscan • WordPress中IEAC插件的RCE漏洞 – WordPress插件IEAC漏洞分析及组合利用尝试 • tcpdump的使用 – tcpdump使用详解 目标发现 nmap -sP 参数使用 ping 扫描局域网主机，目的地址为 192.168.56.6 nmap -A 192.168.56.6 -p- 可以看到目标主机的一些信息，-A 是进行操作系统指纹和版本检测，-p- 是全端口 开放了 22、21、80 端口，并且 80 端口是WordPress 5.1.4的CMS 这里最好提前在/etc/hosts中加上192.168.56.6 five86-2这一条，因为后面访问wordpress的后台wp-admin时会跳转到到这个域名 漏洞发现与利用 在searchsploit和Google并没有发现WordPress 5.1.4的漏洞，可以用wpscan扫描一下这个URL

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关 靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.17 nmap -sC -sV -p- -T5 -oN brainfuck.nmap 10.10.10.17 nmap扫描结果 扫描结果有开放邮箱，https，还得知一些证书相关的信息，看到有brainfuck.htb和sup3rs3cr3t.brainfuck.htb 直接绑定hosts搞吧 echo " 10.10.10.17 brainfuck.htb " | sudo tee -a /etc/hosts echo "10.10.10.17 sup3rs3cr3t.brainfuck.htb" | sudo tee -a /etc/hosts 访问得到如上信息，发现了一些跟邮件有关的信息，一个邮箱orestis@brainfuck.htb 确认目标是wordpress程序，使用wpscan扫描一把 wpscan --disable-tls-checks --url https://brainfuck.htb -e ap,t,tt,u --api-token pFokhQNG8ZFEmmntdfHfTYnrYdnvJHKtVtDuHTqTqBc 得到一款插件相关的漏洞信息

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关 靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站，需要发现目标靶机的IP地址，可以使用nmap，netdiscover，或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的，那么本次演示就是arp-scan工具发现； 地址:https://www.vulnhub.com/entry/stapler-1,150/ sudo nmap -n -p- -sC -sV -T5 -Pn -oN stapler.nmap 192.168.202.15 nmap扫描结果 开放的端口还是很多的，从前面一个一个来，探测到目标靶机开放了21端口并且允许匿名登录，登录上去看看 看到一个文件note 下载下来看到如上信息，得到两个用户名john和elly先放着，继续下面的端口，22端口就先放着，使用gobuster爆破了下目标靶机的目录没发现什么有价值的信息，然后使用nikto扫描了下，发现了两个敏感文件 使用wget下载下来，发现并没有什么作用，继续向下看发现了Samba服务，我们使用命令枚举下信息 enum4linux 192.168.202.15

工欲其事必先利其器，在渗透测试中一份好的工具，是成功与否的关键所在。利用工具我们可以更加快捷的掌握系统中存在那些漏洞。从而完成一系列的渗透测试。 web渗透测试 owasp OWASP是一个开源的、非盈利的全球性安全组织，致力于应用软件的安全研究。我们的使命是使应用软件更加安全，使企业和组织能够对应用安全风险做出更清晰的决策。目前OWASP全球拥有250个分部近7万名会员，共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。 owasp 优点 方便 简单 kali默认安装支持中文 支持sql xxs 等常见的漏洞扫描 结果支持导出 扫描速度快 支持网站目录爬行 nikto Nikto是一款开源的（GPL）网页服务器扫描器，它可以对网页服务器进行全面的多种扫描，包含超过3300种有潜在危险的文件CGIs；超过625种服务器版本；超过230种特定服务器问题。 nikto 优点 扫描速度快 支持网站目录爬行 支持常见漏洞的扫描 支持结果导出 Wapiti Wapiti 是另一个基于终端的 Web 漏洞扫描器，它发送 GET 和 POST 请求给目标站点，来寻找漏洞。 wapiti 我们可以从终端窗口打开 Wapiti，例如： wapiti http://192.168.123.66/ -o wapiti_result -f html -m "-blindsql"