提前环境(kali DC-2靶机)
先进行信息收集
发现同一网段多了个地址 148
使用nmap 对其进行扫描
得到148有两个端口号是开着的 80和7744
拿去访问 http://192.168.47.148:80 你会发现本地访问不了 会自动跳到DC-2 应该是被重定向了
所以 本地dns绑定下
访问本地hosts
C:\Windows\System32\drivers\etc
修改hosts文件
末尾添加一条 192.168.47.148 dc-2
重新访问 进入发现第一个flag
提示:“Your usual wordlists probably won’t work, so instead, maybe you just need to be cewl.”
意思应该就是用cewl
(Cewl是一款采用Ruby开发的应用程序 你可以给它的爬虫指定URL地址和爬取深度 还可以添额外的外部链接 接下来Cewl会给你返回一个字典文件 你可以把字典用到类似John the Ripper这样的密码破解工具中 除此之外 Cewl还提供了命令行工具)
先用字典来试一下 ( cewl http://dc-2 -w passwd.txt)
将爬取http://dc-2/网站生成的字典 放在桌面上的passwd.txt文件中
再 查下字典
得到密码字典 接下里找它的用户名和登录框
使用 dirb来挖目录 (dirb http://dc-2)
admin.php非常有可能是登录框 访问试试
是一个登录网站的页面 明显的wordpress网站
(WordPress是全球流行的博客网站 许多外国的博客都是用它搭建的 但是存在着很多漏洞 专注于这些漏洞与其特性 一个专门针对该CMS的WPScan工具出现了)
需要用户名和密码 利用工具 wpscan
得到了三个用户
先保存这三个用户
还记得我们之前生成的网站字典吗 再利用wpscan爆破 (wpscan --url http://dc-2/ -U user.txt -P passwd.txt)
LOOK 得到password 两组
jerry / adipiscing
tom / parturient
拿去登录
ps:上面url有时候不会跳到http://dc-2/wp-admin/ 导致登录后空白 可以登录后输入url 进去
找到滴二个flag
和我们说WordPress找不到其他东西了
但是我们还有一个ssh7744端口没有用呢
使用tom用户连接 密码前面已经爆出(Jerry尝试几遍不可以)
登录成功 看一下当前用户文件
发现flag3 但是不能查看 被“rbash”限制 需要rbash提权
先看一下rbash限制后能进行那些操作
然后我们要绕过rabsh (BASH_CMDS[A]=/bin/sh;A)
/bin/bash(此时还不能查看flag3.txt)
添加一个变量 tomexport PATH=$PATH:/bin/
得到flag3
根据flag3提示切换jerry用户 su jerry
cd /home/jerry
ls
cat flag4.txt
得到flag4 BUT它在挑衅我们
flag4有提示用git提权 查看jerry用户可以用root用户的身份执行git命令且无需密码
强制进入交互模式 (sudo git -p help config)
打开一个用户为root的shell (!/bin/bash #末尾)
找的flag
小结:
A : 重定向
B: cewl使用
C: wpscan使用
D: dirb使用
E: rbash提权
E: git提权