与dc1相同我们先要下载靶机,配置靶机网卡为nat,打开靶机。启动Kali使用Namp扫描。
扫描完成后排除过大与过小的和本机的地址很容易得到靶机地址。得到地址后扫描靶机开启的端口与服务。
得到信息,靶机开启了80端口http服务,7744端口ssh服务。浏览器查看靶机http服务
发现无法链接,找不到dc-2的ip 地址,这是由于本机的dns服务无法解析地址。语言手动添加
这里是windows的路由添加。添加之后我们刷新dns
以后再次尝试浏览
成功打开,再打开的网页中收集信息
这里我们得到两个信息,第一个flag提示我们要用cewl 查找信息,第二个是这个网站是用Wordpress 搭建。
这里我们先使用cewl 查询并把查到的信息放进pass.txt文件中
在得到这些信息之后我们初步判断这是一些密码。有了密码当然就需要账户。根据网站搜集的信息,我们使用wpscan扫描靶机
wpscan 是专门用于扫描WordPress的
扫描之后得到三个用户名,我们将用户名写入文件user.list中。
有了用户名和密码的字典就可以开始爆破了,同样是用wpscan爆破
爆破完成后匹配成功两个用户名与密码
有了正确的用户名和密码,接下来就是寻找登录页面了。使用dirb 对靶机进行扫描
找到以wp开口的参数url使用浏览器打开就可以看到登录页面,使用第一个尝试登录。成功登陆
并且在登录后找到flag2
查阅第二个flag提示我们这里没有什么可以换个入口登录。
在这里我们应该想到靶机还为ssh服务开启了7744端口。这里尝试用得到的账户密码登录靶机的ssh服务。
这里可以看到靶机阻止了jerry的登录,但是成功登陆了Tom。
登陆成功之后开始查阅Tom目录下的文件
发现flag3 但提示错误不允许查看。很明显sheall受到限制。
我们输入echo /home/Tom/usr/bin/*查看tom用户可以使用的命令。
明确可以使用la,scp,vi。利用vi查看flag3
这里提示我们应该用jerry账户登陆。
但刚才已经试过jerry账户无法登陆,shell 受限的Tom又不能直接登陆jerry。这里就需要绕过shell了
输入BASH_CMDS[a]=/bin/sh; a然后在返回的输入框内输入/bin/bash确定之后就可以进行攻击了
输入命令PATH=$PATH:/bin/即可成功绕过受限shell输入命令su jerry登陆jerry用户,成功登陆
成功登陆之后逐级查看目录,再jerry目录中找到flag4查看flag4,得到提示使用git
先查看可以用root权限使用的命令
尝试使用git提权
成功提权。最后再次逐级查看目录文件,得到最终flag