不多B,开搞;
内网搭建nmap -R 192.XX.XX.0/24扫
搞到ip,前5000仅开了80端口
访问一下80,跳转到dc-2提示需dns解析;
在hosts文件里添加一条
刷新,提示是个wordpress站点
在页面上发现了flag1,提示用cewl
扫一下详细信息及前10000端口,明确wordpress版本为4.7.10,ssh版本号6.7p1,且修改了默认端口号,改为7744;
祭出wpscan,21个洞、、、、先按提示枚举下用户名
别的表哥介绍用cewl扒页面组字典,试一试(mac上没装,远程kali),搞出了238个;
用wpscan挨着爆一下;
U:tom;P:parturient
U:jerry;P:adipiscing
tom登录无卵事发生;
jerry登录发现flag2;
使用tom尝试ssh登陆
使用了rbash,删了一些命令,也禁了一些
关于rbash绕过,推荐这个老哥的https://www.cnblogs.com/xiaoxiaoleo/p/8450379.html,
三步
BASH_CMDS[a]=/bin/sh;a
export PATH=
P
A
T
H
:
/
b
i
n
/
e
x
p
o
r
t
P
A
T
H
=
PATH:/bin/ export PATH=
PATH:/bin/exportPATH=PATH:/usr/bin
flag3提示切换用户为jerry
jerry用户目录下发现flag4,
提示用git提权,方法很多,我用-p参数,输入位!/bin/bash
完事