一、主机发现

arp-scan扫描一下局域网靶机

二、信息收集

nmap -sV -A -T4 -p- 192.168.31.132

22端口ssh服务和80端口web服务是打开的

目录扫描

三、渗透测试

访问一下web服务是个apache的首页

web页面分析

有一个很奇怪的地方，index.php明明是一个200的响应，但是打开却是404，并且apache的版本号也对不上

在index.php页面的原代码中，发现提示，需要将beelzebub进行md5加密

md5加密&次级目录扫描

原始数据：beelzebub
加密数据：d18e1e22becbd915b45e0e655429d487

把这串字符串当作次级目录进行扫描

dirsearch -u "http://192.168.31.132/d18e1e22becbd915b45e0e655429d487"

根据目录名可以判断出来这是一个wordpress的站点

逐个查看一下这几个页面，看看有没有什么有用的信息

一个上传页面

一个文件包含页面

一个登录页面

这三个页面是最敏感的三个页面了

反复查看这三个页面

最后发现在这个上传页面输入信息的时候，页面数据包中会返回一个password

有密码的话就差用户名了

wpscan --url http://192.168.31.132/d18e1e22becbd915b45e0e655429d487 --plugins-detection aggressive --ignore-main-redirect --force -e u

这里我们爆出来krampus/valak两个用户

ssh登录

这样的话尝试用上面发现的用户名和密码登录一下ssh服务

用户名：valak、krampus
密码：M4k3Ad3a1

krampus用户名登录成功了