使用VMware将其打开,设置网卡为桥接(保证攻击机与靶机在同一网段下)
- 收集信息-获取ip地址
arp-scan-l 基于ARP发现内网存活主机
获取到靶机IP地址:10.9.136.103 - 扫描靶机开放端口
nmap -A全面扫描/综合扫描 nmap -O启用操作系统探测 nmap -sV版本探测 nmap -p-指定扫描端口
看到靶机开放了80和7744端口对应的http和ssh服务 - 访问http服务,发现被重定向到http://dc-2,修改hosts文件
- 重新访问http服务,得到flag1
得到提示这个网站是wordpress搭建的,使用网站指纹识别工具whatweb扫描发现确实是wordpress
需要使用cewl登录之后就可以看到下一个flag
5.使用cewl生成密码字典
cewl-w可以将打印出的字典存储为text文件
6.使用wpscan暴力枚举用户名
得到了三个用户名分别是admin,jerry,tom
7.使用wpsan爆破wordpress用户名密码
得到两个用户名和密码
jerry / adipiscing
tom / parturient
8.使用获得的账号密码登录到wordpress 使用jerry / adipiscing登录
9.得到flag2,提示需要找到另外一个入口,使用刚刚获得的账号密码登录ssh
10.输入命令发现有rbash限制,绕过BASH_CMDS[a]=/bin/sh;a #把/bin/bash给a变量 export PATH=$PATH:/bin/ #注:将 /bin 作为PATH环境变量导出 export PATH=$PATH:/usr/bin #注:将 /usr/bin 作为PATH环境变量导出
11.得到flag3
提权
12.切换jerry用户
查看/etc/passwd文件看到有jerry用户
使用之前爆破到的密码切换到jerry用户
13.得到flag4
14.寻找root用户拥有的文件,并将错误写入到/dev/null,使用find命令查看拥有suid权限的文件
find / -user root -perm /4000 2>/dev/null
使用sudo -l 显示当前用户可以用 sudo 执行那些命令
发现可以利用sudo执行git命令
15.成功提权到root,得到最后一个flag
