一个粗糙的端口扫描
通过对目标主机进行端口探测,发现只开放了80端口,那就先访问一下看
当我们通过IP访问的时候,会自动跳转成 http://dc-2
我们需要在/etc/hosts
文件中添加一条映射关系
刷新页面就可以正常打开
Flag1
浏览页面发现一个Flag的标题,打开之后获得第一个Flag
并且提示我们,登录获取下一个Flag
Flag2
先使用wpscan扫描一下网站用户
wpscan --url 'http://dc-2' --enumerate u
Flag1中提示我们用cewl来生成密码
cewl -w dc2_passwd.txt http://dc-2
生成密码之后我们来进行爆破
hydra -L user.txt -P dc2_passwd.txt dc-2 http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log&testcookie=1:S=LOcation'
得到密码之后我们登录后台
登录之后在文章页面找到了Flag2,并且提示我们,不要一直在Wordpress上找问题,要想想其他办法
Flag3
既然让我们用别的方法切入,那刚才刚才的tom账户有可能是SSH账户
但是登录的时候发现被拒绝,有可能是更改了SSH的端口号
再进行一个全面的端口扫描看看有没有之前遗漏的端口
经过探测之后我们发现,多了一个7744端口,是SSH服务,可以成功登录
在进行执行命令的时候发现权限非常的小
我们首先在vi中获取一个新的shell
vi
进入底行模式
set shell=/bin/sh
shell
然后再设置环境变量
查看Flag3
Flag4
切换到jerry的家目录查看一下,看到Flag4文件
查看Flag4
得到Flag4,并且提示我们使用git
Flag5
看了一下jerry用户可以执行git并且是以root权限
既然要使用git,在GTFOBins里看看
https://gtfobins.github.io/gtfobins/git/
利用sudo git -p help config
和!/bin/sh
成功进行了提权
成功获取到最后一个Flag
最后
附上靶机链接:后台回复DC-2获取
下方查看历史文章
VulnHub之DC-1
VulnHub之MuzzyBox_WriteUp
awk对apache日志访问的处理
扫描二维码
获取更多精彩
NowSec