image-20220321212908635

wpscan一波然后看看js确定plugins插件

image-20220321220707125

丢到谷歌里只有任意文件下载这个洞，试了试web不是以root启动的，暂时没有别的思路，于是尝试扫描全端口。

image-20220321221722154

直连过去没有回显，直接搜waste 1337，锤子都没有。。。

于是谷歌一搜，想到根据pid里的参数来确定哪个服务监听了1337，直接爆破。

image-20220321223837542

image-20220321224541563

爆破到859的时候出现了目标，小样，gdbserver，开始突刺。

image-20220321224953918

ida冲上去，然后换ida64....

image-20220321225228926

image-20220321225302095

一运行就炸，看样子不是溢出，直接怼gdbserver的exp。

<https://www.exploit-db.com/exploits/50539>

这里注意别在windows运行，windows我抓包发现socket解析不了这里的回包，可能是python的问题？

image-20220321231258376

image-20220321231335429

然后ls拿到user.txt，开始提权。