靶机地址：https://www.vulnhub.com/entry/bsides-vancouver-2018-workshop%2C231/

靶机难度：中级（CTF）

靶机发布日期：2018年3月21日

靶机描述：

Boot2root挑战旨在创建一个安全的环境，您可以在该环境中对（故意）易受攻击的目标执行真实的渗透测试。

该研讨会将为您提供定制的VM，目标是在其上获得根级别的访问权限。

对于那些想进入渗透测试却又不知道从哪里开始的人来说，这是一个很大的机会。*

如果这听起来令人生畏，请不要担心！在研讨会期间，我们将在渗透测试的每个步骤中讨论各种方法，常见的陷阱和有用的工具。

要求：

能够运行两个虚拟机并具有USB端口的笔记本电脑。

至少20GB的可用空间。

已预先安装VirtualBox。

kali-VM

熟悉CLI

是的，这是另一个基于WordPress的VM（尽管只有我的第二个）----谷歌翻译

目标：得到root权限&找到flag.txt

作者：DXR嗯嗯呐

信息收集

nmap扫描靶机IP

nmap端口扫描

21? ftp 可以匿名灯登陆

22 ssh

80? http

开始访问21端口，将users.txt.bk文件下载到本地

发现文件是几个用户名

22端口没有密码，只能继续访问80端口

前面nmap扫描端口是发现了robots.txt和一个目录

访问这个目录看看

看来这是个wordpress，先使用gobuster爆破一下目录

gobuster dir -u http://192.168.16.150/backup_wordpress/-t30 -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt? -s 200,301,302

发现两个有趣的目录，一个文件目录，一个登陆界面

先使用wpscan枚举一下wordpreess账号

wpscan --url 'http://192.168.16.150/backup_wordpress/' --api-token 'API' --enumerate u

继续使用wpscan爆破一下密码

wpscan --url 'http://192.168.16.150/backup_wordpress/' --api-token 'API' -U wordpressusers.txt -P /usr/share/wordlists/rockyou.txt

爆破出账号密码

john / enigma

登陆账号，寻找注入点

上传反弹shell

在media模块看到上传的php文件

点击获得文件的访问路径

提权

kail上监听1234端口，访问反弹shell,返回交换窗口

查看home下的用户

有几个用户，测试发现只有anne用户可以登录

使用hydra爆破一下密码，爆破出来了密码

hydra -l anne -P /usr/share/wordlists/rockyou.txt -t 4 ssh://192.168.16.151

login: anne password: princess

登录发现具备sudo权限，直接sudo su 提权到root权限

完成！！！

总结

这个应该有很多种方法，不然这有点愧对中级了，之后在慢慢探索吧。

1、使用nmap扫描靶机IP和端口信息，匿名访问FTP获得users文件,访问80端口robots文件，获得目录。

2、使用gobuster爆破目录，获得wordpress登陆界面，使用wpscan爆破账号密码。登陆john用户，上传反弹shell,获得交换shell。

3、使用hydra爆破anne用户，ssh登陆，用户具备sudo权限，直接sudo切换到root用户上，获得root用户权限。