信息收集
主机发现
端口扫描
版本及服务扫描
7744端口开放的ssh服务。
漏洞发现及利用
访问80端口:
这里要手动设置DNS解析(原因我也不知道)
linux在/etc/hosts设置:
flag1
打开网站就能看到:
翻译:
你通常的词表可能不起作用,所以相反,也许你只需要成为cewl。
密码越多越好,但有时你就是赢不了。
作为一个登录以查看下一个标志。
如果找不到,请以另一个身份登录。
flag2
提示cewl生成密码字典,但是没有用户名啊。
看主页:
使用wpscan枚举用户名:
wpscan --url http://dc-2 -e u
枚举出三个用户:
WordPress默认登录页面为wp-login.php:
使用wpscan进行爆破。
用户名字典ok,密码字典使用cewl生成:
cewl >>pwd.txt
使用wpscan进行爆破:
wpscan --url http://dc-2 -U userDC2.txt -P pwd.txt
获得两组账号密码。
登录后台:
使用jerry登录获得flag2:
翻译:如果你不能利用WordPress并走捷径,还有另一种方法。希望你能找到另一个切入点。
flag3
根据提示,另一个切入点,那只能是服务器开启的ssh服务了。
使用hydra进行ssh破解(可以直接使用账号密码ssh连接,这里想练习一下工具的使用,但是好慢啊):
ok,进行远程登录:
但是使用cat打开时,存在限制:
绕过限制的方式:
BASH_CMDS[a]=/bin/sh;a
/bin/bash
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
打开文件:
翻译:可怜的老汤姆总是在追杰瑞。也许他应该为自己造成的压力负责。
flag4
这里提到另一个用户,尝试ssh连接,失败:
在tom用户中,查看:
可以尝试切换用户:
在jerry家目录下,找到了flag4:
翻译:很高兴看到你走了这么远-但你还没回家。你仍然需要得到最终的标志(唯一真正重要的标志!!!)。这里没有提示-你现在只能靠自己了。😃 去吧-滚开!!!!
flag5
很明显,提权。
使用:
sudo -l
查看具有root权限的命令
git提权:
sudo git -p --help
!/bin/bash
总结
主要是工具的使用和sudo提权的方式。
参考链接: