拿到关键信息Flag
本次渗透测试范围为本地,具体如下:
表1-1:渗透测试对象
序号 | 系统名称 | 网站地址 | 内外网 |
1 | DC-2 | http://192.168.21.31 | 内网 |
2023年11月16日 下午14:00下午15:30
在本地开展内网的vmware虚拟机中渗透测试。
TYR2
- 信息收集
- 主机存活扫描和端口扫描
- 全端口扫描
nmap -p- 192.168.21.31
80、7744端口开启
- 访问80端口
应该是被重定向了
linux 设置/etc/hosts文件
windows修改:C:\Windows\System32\drivers\etc\hosts
- 正常访问
- 目录扫描
- 信息分析
80主页面发现第一个flag
need to be cewl,意思是让我们使用cewl了看来
- 漏洞验证与利用
- 账号密码暴力枚举漏洞验证与利用
- 登录框暴力枚举
目录扫描出的/wp-login.php就是登录目录
但是我们还不知道账户
咋一看,网站使用的是wordpress,可以使用卡里的wpscan 扫描一下
wpscan --url http://dc-2/ -e u //枚举用户名字 |
不仅扫出来用户,还扫出来了一些其他有趣的信息
bp枚举结果:
有跳转,应该是登录成功了 adipiscing
- 找到第二个flag
这里说明一下:使用tom进入页面是无法点进7pages的,应该是jerry权限更高
那就说明能利用wordpress 但是也可以有不利用wordpress的方法--这里作者表示有两种方法
我找了半天没找到如何在wordpress利用
因为前面找到了一个7744端口是ssh,所以我们拿已经扫出来的账号密码登录试试
- ssh登录
发现jerry无法登录,tom能够正常登录
但是很多命令都无法使用,可以使用compgen -c 查看可使用的命令
发现有vi,可以使用vi查看
挺有趣的,但是没找到具体的线索
- 查看历史命令发现ls -l usr/bin命令,拿到了能够执行的命令
具体命令的具体作用是做什么的咱也没去了解过,但是是知道ls 和vi的
为了方便点,我就使用图形化界面链接ssh--部分提权
设置环境变量
成功转换成jerry用户
部分提权成功
- 在家目录拿到第四个flag
- 提权
sudo -l 找到可以NOPASSWD 执行git
可以在网站git | GTFOBins中找到
记得前面加个sudo
- 找到最后一个flag
这个靶场主要是在更换用户的时候遇到困难,tom换成jerry那里,这是当时的代码: