這次是 PG Play 題目,來看看怎麼解ㄅ!
一樣的慣例,看看掃出來的報告
Starting Nmap 7.95 ( https://nmap.org ) at 2025-09-21 08:16 UTC
Nmap scan report for 192.168.58.217
Host is up (0.00062s latency).
Not shown: 998 closed tcp ports (reset)
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.10 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 2048 95:1d:82:8f:5e:de:9a:00:a8:07:39:bd:ac:ad:d3:44 (RSA)
| 256 d7:b4:52:a2:c8:fa:b7:0e:d1:a8:d0:70:cd:6b:36:90 (ECDSA)
|_ 256 df:f2:4f:77:33:44:d5:93:d7:79:17:45:5a:a1:36:8b (ED25519)
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
|_http-title: Blogger | Home
|_http-server-header: Apache/2.4.18 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 7.07 seconds
首先進入 http 的服務看看
發現是一個 personal website
之後先進行 dirsearch , 找到了以下的目錄
/js/
/images/
/css/
/assets/
一一進去看看後,最引人注目的是 /assets/fonts 底下有一個 blog dir
進去看看發現他並沒有渲染,看看原始碼之後,發現有很多 blogger.pg 的 domain
這時候我想到,可以修改 /etc/hosts 讓他能夠以 blogger.pg 的 domain 連線
隨即便渲染成功
底下有 login 可以點進去看看
發現是 wordpress service
可以利用以下的指令去掃描一些資訊
wpscan --url http://blogger.pg/assets/fonts/blog/ --enumerate p --plugins-detection aggressive
wpscan
--url http://blogger.pg/assets/fonts/blog/
http://blogger.pg/assets/fonts/blog/。--enumerate p
--enumerate 用來枚舉 (enumerate) WordPress 的各種資訊。-p = plugins
其他常見選項:
-u = 使用者 (users)
-t = themes
-ap = 所有 plugins
-at = 所有 themes
這裡的 p 單純是 plugins。
--plugins-detection aggressive
指定外掛偵測模式:
passive = 只透過公開資訊(如 HTML 原始碼、link)被動偵測
aggressive = 嘗試透過多種手段積極探測,像是直接請求 /wp-content/plugins/<plugin>/ 資料夾來確認外掛存在
aggressive 模式更容易被發現,但能找到更多外掛。這邊發現了有一個 wpdiscuz plugin 有漏洞
可以嘗試看看在留言板上塞 rev-shell
點進去就直接取得 normal user
看看家目錄有什麼
james ubuntu vagrant
看看 vagrant 能不能用預設密碼登入,發現可以
之後看看 sudo -l,可以直接 sudo -i get root
iThome鐵人賽
看影片追技術
看更多