安装好靶场以后,二话不说先拿着nmap对着网段咔咔就是一顿扫
nmap -T4 -sV -p1-65535 192.168.8.117
这就搞出来了两个端口80和7744,80懂得都懂,7744是ssh端口
先登录网站再说,这个时候操蛋的情况出现了,输入IP地址可以被解析为域名,但是却无法访问
上网查了才知道这是被重定向了,需要在/etc/hosts文件中绑定IP地址和这个域名
再次访问IP就可以看见,这是个wordpress建的博客网站(假如更改了hosts文件,刷新页面没响应的话,直接输入IP地址就行了)
到此,可以看见flag标签,打开来看看,哦我的老天爷,是flag1,他让我们登录网站去找下一个flag
flag1中提到了cewl,这个我之前没有用过,但是现在知道了,它可以根据该网站中的内容生成一个字典,然后用来爆破,而kali自带cewl,拿来直接用。(cewl使用方法可以参考文章开头的链接)
cewl http://dc-2/ -v -w dc-two-pass.txt
用来爆破的密码本有了,现在需要搞定用户名,虽然之前猜过admin的密码,然后失败了。这里有需要用到对付wordpress的大杀器wpscan,可以扫描wordpress的插件,主题,用户等信息。kali也自带,拿来直接用(使用方法可以参考文章开头的链接)
wpscan --url http://dc-2 -e u
这里可以看见,已经将用户名搞出来了,我们将其放入user
.txt,等会爆破要用到。tom和jerry怎么这么熟悉,这不就是猫和老鼠嘛
掏出我们的用户名小本本和密码小本本,用wpscan开始爆破,真是wpscan一条龙服务啊,当然也可以用其他的密码爆破工具,最后得到密码就行
wpscan --url http://dc-2 -U user.txt -P dc-two-pass.txt
可以看见用户名和密码都搞定了,现在就可以拿去登录网站了
wordpress的后台地址/wp-login.php,这里我用jerry的账号登录,哈,居然是名字叫jerry mouse。这里为什么不用tom的账号呢,下面就会知道了
我们在pages页面找到了flag2的信息,告诉我们这wordpress已经没有可以用的了,换条路子吧
当去登录tom的账号时,可以看见,tom并没有权力查看page页面(可怜的tom猫)
之前端口扫描扫出来了一个7744端口,用作ssh连接,至于为什么不是22,我也不知道,然后就用之前拿到的tom和jerry账号试一试,jerry账号权限不允许ssh登录,最后通过tom的账号登录
登录之后发现了flag3.txt,但是想用cat打开却发现不行,vim也不行,vi却可以,打开看看,这里提示用su切换用户,那么应该是将当前的tom切换为jerry
同样的问题,su命令也向cat、vim等一样,不能使用,这里出现了rbash,于是就顺水推舟,涨涨姿势吧
rbash,也就是重写的shell,它能让用户只能执行规定的命令,这些规定的命令存放在用户文件夹的/.bin文件内,根据现在的情况,DC2的rbash看来是只给开放了屈指可数的命令,那么现在就需要rbash逃逸了,此次用的是下面的命令(rbash逃逸可以参考文章开头的链接)
# 利用bash_cmds自定义一个shell
BASH_CMDS[a]=/bin/sh;a
# 添加环境变量
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
可以看见用户切换,且命令的使用也恢复正常
在jerry的用户文件夹下发现了flag4.txt文件,打开看看
现在就差最后一个flag了,本来以为有了用户和密码就可以直接用sudo读root的文件了,或者切换为root用户也行,结果事实证明我想多了,这里作者做了限制,我们不能用sudo去执行其他命令
看了看别人的,才知道这里flag4.txt提醒我们要注意git,用sudo -l可以查看当前用户可以用sudo执行的命令,git可以用sudo执行
利用git提权首先用sudo调出git的帮助文档,然后在下面输入!/bin/sh,回车就行了
sudo git help config
!/bin/sh
这里提权已经成功,原谅见识少的我,我觉得这就跟魔法一样,太巧妙了
打开root文件夹,查看finalflag
这次的练习过程只能称之为奇妙
354
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
