下载靶机链接
解压之后导入VMware
将虚拟机设置为NAT模式并且开启虚拟机。
同时打开我们的kali,这里我使用的是WSL子系统kali。
- 信息收集
使用nmap扫描kali同网段存活主机,发现存在一台192.168.32.128的主机开启80端口。
我们尝试访问该主机的80端口,发现无法正常访问页面,但在url地址栏会有http://dc-2域名提示,发现问题是本地无法解析域名dc-2
所以我们修改我们的hosts文件,添加靶机IP及其对应的域名 192.168.32.128 dc-2
添加域名解析后,可以正常访问网页信息,并能在Flag页面找到flag1
Flag1中提示我们使用cewl密码字典生成工具,并且在登录后可以找到下一个flag
对该靶机进行目录扫描,这里我用的是DirMap。
发现后台登录页面wp-login.php访问该页面
- 密码爆破
这里需要使用用户以及密码爆破,我们简单尝试了一些弱口令都没有进去,想到这是WordPress 的CMS,所以使用wpscan工具扫描网站,获取可以登录网站的用户名,扫描后可以找到三个用户名:admin、tom、jerry。
将获取到的三个用户名添加到user文件中,使用flag1中提示的工具cewl生成密码字典
cewl dc-2 -w dc-2passwd
使用wpscan工具爆破可以登录用户的密码,可成功爆破tom和jerry用户
wpscan --url dc-2 -U user -P dc-2passwd
jerry / adipiscing
tom / parturient
- 登录后台
使用Jerry用户登录后台发现flag2,使用tom用户什么都没有发现。
Flag2:
If you can't exploit WordPress and take a shortcut, there is another way.
Hope you found another entry point.
如果您无法利用 WordPress 并走捷径,还有另一种方法。
希望你找到另一个切入点。
叫我找另外一个切入点,这里我重新扫描dc-2的端口,发现开启7744端口并且是ssh服务。
- 登录SSH
这里恰好他的登录密码就是后台管理的登录密码,所以可以直接登录,一般不是的话就需要使用kali里的hydra进行一个密码爆破。
查看目录发现有一个flag3.txt的文件但是没有查看命令,但是使用vi命令可以查看到内容是需要我们切换到jerry用户的。
但是无法直接使用su命令切换用户,需要设置一个环境变量
BASH_CMDS[a]=/bin/sh ; a #调用/bin/sh命令解释器
/bin/bash #使用bash命令解释器
export PATH=PATH:/bin:/sbin:/usr/bin:/usr/sbin #设置环境变量
此时命令基本上都可以使用,也可以table补全命令,切换到jerry用户,进入jerry家目录下,ls 找到flag4.txt
Good to see that you've made it this far - but you're not home yet.
You still need to get the final flag (the only flag that really counts!!!).
No hints here - you're on your own now. :-)
Go on - git outta here!!!!
很高兴看到你已经走到了这一步——但你还没有回家。
你仍然需要得到最终的标志(唯一真正重要的标志!!)。
这里没有提示 - 你现在靠自己了。 :-)
继续 - git outta here!!!
- git提权
sudo -l #查看可以使用root权限无密码的命令,有git命令
这里应该是用git提权拿到root。
sudo git -p h config #提权
使用!/bin/bash提权,输入id发现是root账户。
进入root目录查看到了最后一个flag。5个flag都被找到了,渗透测试全部结束。
- 总结
1.需要改hosts 不然访问不了 解析不到!
2.可以了解到nmap -p- 可以扫描全部的端口。
3.使用WPSCAN爆破wordpress账号密码
4.逃脱受限shell
5.导入PATH环境变量
6.使用git工具提升权限(sudo)