image-20220321212908635
wpscan一波然后看看js确定plugins插件
image-20220321220707125
丢到谷歌里只有任意文件下载这个洞,试了试web不是以root启动的,暂时没有别的思路,于是尝试扫描全端口。
image-20220321221722154
直连过去没有回显,直接搜waste 1337,锤子都没有。。。
于是谷歌一搜,想到根据pid里的参数来确定哪个服务监听了1337,直接爆破。
image-20220321223837542
image-20220321224541563
爆破到859的时候出现了目标,小样,gdbserver,开始突刺。
image-20220321224953918
ida冲上去,然后换ida64....
image-20220321225228926
image-20220321225302095
一运行就炸,看样子不是溢出,直接怼gdbserver的exp。
<https://www.exploit-db.com/exploits/50539>
这里注意别在windows运行,windows我抓包发现socket解析不了这里的回包,可能是python的问题?
image-20220321231258376
image-20220321231335429
然后ls拿到user.txt,开始提权。