一、信息搜集

1.打开靶机就会回显IP地址
2.使用nmap 探测端口信息

发现22，80端口，9090是关闭的，22端口版本较高，所以从80端口入手，探测出来是WordPress的CMS

二、漏洞利用

知道是wordpress就直接用wpscan扫描
wpscan --url http://192.168.1.41 -e u,p 枚举用户名，插件

[+] kitty
| Found By: Rss Generator (Passive Detection)
| Confirmed By:
| Author Id Brute Forcing - Author Pattern (Aggressive Detection)
| Login Error Messages (Aggressive Detection)

扫出一个kitty用户，接着用wpscan**密码

但是没有结果，还是从插件入手

–plugins-detection，默认设置为“被动”,用mixed更全面

扫描出一个iwp-client插件，去百度查询后发现有认证绕过的漏洞

打开msf，查找有没有这个漏洞利用



获取到一个反弹shell,权限是apache，然后开始提权

三、获取信息

查看发现只有两个用户

在根目录下面发现一个kitty.txt,查看后看到一段话

翻译后

得到kitty账号密码提示，使用crcunch生成密码，最小位最大位都是10，格式是$kitty和四位数
生成密码字典后**发现没有正确密码

网页里介绍里这只猫是minouche ，重新生成字典

利用九头蛇**，得到正确密码（生成字典时格式可以排除一些肯定不正确的数字，比如9999，改一下格式速度快一些）


利用得到的密码，登录，在当前账号的路径下发现第一个flag文件

还发现一个android的压缩文件，下载到本地解压查看


同时利用sudo,suid,计划任务提权都没有成功，所以只能在解压文件里入手，可能藏在数据库里
利用kali自带的数据库工具，一个个找

找到YouWillNeverGue$$This，使用root账号用这个作为密码登录，登录成功，得到第二个flag