文章目录

• • • • 目标：收集 5 个 flag
    • 一、信息收集
    • • 1.主机发现
      • 2.端口扫描
    • 二、漏洞挖掘
    • • 1.访问靶机 80 端口，查看其使用了什么 cms
      • 2.目录扫描
      • 3.扫描用户名
      • 4.生成字典
      • 5.爆破密码
      • 6.使用账号密码登陆，在登陆 Jerry 时发现 flag2
      • 7.使用 ssh
      • • 1.使用 jerry 登陆，失败，得知该 ssh 密码与 wordpress 密码不一致
        • 2.使用 tom 登陆，成功
      • 8.rbash绕过
      • 9.git 提权

目标：收集 5 个 flag

一、信息收集

1.主机发现

已知靶机与攻击机在同一网段，扫描同网段

arp-scan -l

发现靶机 ip

2.端口扫描

nmap -A -p- 192.168.43.105 # -A 全面扫描 # -p- 扫描全面端口

发现开放了 80 端口，Apache 服务
开放了 7744 端口 ssh 服务

二、漏洞挖掘

1.访问靶机 80 端口，查看其使用了什么 cms

发现 wordpress 框架，及 flag 1

若是跳转到 http://dc-2 域名然后无法访问，将 ip 地址、域名 添加到 /etc/hosts 文件
hosts ： 定义IP地址和主机名的映射关系，是一个映射IP地址和主机名的规定。 将一些常用的网址域名对应的 IP 地址记录，加快域名解析、屏蔽网站等

flag1

你通常的单词列表可能不起作用，所以，也许你只需要 cewl。 
更多的密码永远是更好的，但有时你就是不能赢得他们的全部。
 以一个身份登录以查看下一个标志。 如果你找不到，就以另一个人的身份登录。

根据提示，可能需要使用 cewl ，以及用户切换操作

2.目录扫描

nikto -h 192.168.1.110

发现登陆页面

3.扫描用户名

wpscan --url dc-2 -e u

4.生成字典

cewl dc-2 -w dict.txt

5.爆破密码

wpscan --url dc-2 -P 1.txt

6.使用账号密码登陆，在登陆 Jerry 时发现 flag2

如果你不能利用WordPress和走捷径，还有另外一种方法。希望你找到了另一个入口。

7.使用 ssh

根据端口扫描，发现开启了ssh服务，我们先尝试连接：

1.使用 jerry 登陆，失败，得知该 ssh 密码与 wordpress 密码不一致

2.使用 tom 登陆，成功

使用 ls 查看文件，发现 flag3 ，使用 cat 打印却提示 -rbash 权限限制

尝试使用 vim、vi，发现 vi 成功进入编辑界面，

可怜的老汤姆总是追着杰里，也许他应该克服他所造成的压力。

提示切换用户，可恶，谜语人

8.rbash绕过

使用 su jerry 发现 su 被 rbash，使用以下方法绕过 rbash

BASH_CMDS[a]=/bin/sh;a
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin

切换用户，jerry/adipiscing
切换到 /home/jerry 目录，发现 flag 4

很高兴看到你走了这么远，但你还没回家。 你仍然需要得到最后的旗子(唯一真正重要的标志！)。 这里没有提示-你现在只能靠自己了。 快-快离开这里！
虽然还舞舞轩轩，但是还是提示了 Git 提权

9.git 提权

sudo git -p help 
!/bin/sh

查找最后的 flag，在 /root/ 目录下 发现 final-flag.txt