一.确定目标ip
由于不知道目标靶场的ip地址所以我们使用nmap -sn 192.168.150.0/24 扫描整个网段,拿到目标的ip为192.168.150.128
二.综合信息收集
接下来我们就可以针对这个ip进行专项扫描输入nmap -sV -A -p- 192.168.150.128拿到该靶场详细的端口,服务,以及版本
接下来使用dirb扫描该域名的目录,发现后台登陆的域名为http://192.168.150.128/wp-admin/admin.php
三.综合渗透阶段
既然开了80,那我们访问一下该网站,发现一访问ip就重定向到了http://dc-2 导致访问不成功,那我们就修改host文件把ip指向这个域名即可成功访问,
进入主页面发现第一个flag和该网站的cms指纹为wordpress,那我们用专门工具wpscan扫一下该网站,因为wordpress登录界面有用户名爆破的漏洞,所以我们直接构造命令为wpscan --url http://dc-2 -e u 来爆破出该网站的用户为 tom admin jerry
接着我们根据flag1给我们的提示,使用cewl收集目标所有单词生成一个字典,命令为cewl http://dc-2/ -w passwd.txt
接下来就知道用户名和密码字典我们就可以使用burp来抓包拦截爆破密码,设为集束炸弹类型,设置两个payload 然后开始爆破
最后拿到tom和jerry的用户名和密码
我们使用jerry的账号密码登录页面,随便点点即可拿到flag2
这里提示网页走不通了,让我们换一条路,拿因为我们还扫到一个ssh服务,我们使用用户登录一下ssh试一下,经过测试,只有tom用户可以登录
进入ssh服务,使用ls看到flag3证明我们思路正确,当我们cat flag3.txt时却提示没有权限,看来我们下一步的目标是进行提权
四.后渗透提权阶段
输入很多命令发现都不能用,发现这个rbash是一个受限制的bash终端,他只能执行一些允许我们执行的命令,那接下来我们的首要任务就是拿到一个正常的bash,我们输入 echo/home/tom/usr/bin/* 意为输出 /home/tom/usr/bin/ 目录下的所有文件和子目录的名称,每个名称占一 行。
看到我们只能使用less vi scp ls 这四个命令,所以我们使用vi flag3.txt就可以看到内容,这句话暗示我们去jerry用户看看
那就要提升到正常的bash里那我们可以使用vi来提权,进入vi 输入 :set shell=/bin/bash :shell :set 命令表示设置一个选项的 值,:shell 命令表示执行一个 shell。默认情况下,vi 会使用 RBASH 作为 shell,但是用户可以通过 :set shell=/bin/bash 来修改 shell 的值为 /bin/bash。因此,如果用户使用 :shell 命令,就可以运 行 bash,从而绕过 RBASH 的限制。
接下来再输入 export PATH=$PATH:/bin/ 将/bin目录添加到PATH环境变量的末尾,这样可以让shell在查找命令时,也会在/bin目录下搜索。
现在进入一个正常的bash 就可以su到jerry用户了
这样就拿到了flag4 但是他告诉我们还剩下一个最重要的flag, 那就发散思路,发现现在whoami是普通用户,那我们就再次提权提到root用户,首先使用suid提权输入 find / -perm -u=s -type f 2>/dev/null
发现我们常用的suid提权都没有,那就看看熟悉的sudo,输入sudo -l 可以查看sudo使用的命令,发现git命令可以不用输入root密码使用,那就朝着方面入手
按照suid的提权思路,只要能用git命令创建一个bash应该就能提权成功,输入sudo git -p help就可以进入末行模式 这样再再末行模式输入 !/bin/bash 就可以用root权限打开一个shell,然后就拿到了最后一个flag
341
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
