下載靶機dc-2
先找靶機
nmap -sV 10.204.11.0/24
先廣泛的找一下
再細查一下
nmap -A -p- 10.204.11.3
開了個80埠又有一個ssh登陸埠
我們先檢視一下
埠服務
發現無法訪問解析失敗我們可以配置/etc/hosts檔案再主機配置C:\Windows\System32\drivers\etc
沒有許可權的話右鍵更改即可
在kali上直接改就行
都是加入
ip dc-2
知道了是什麼cms
並且找到了第一個flag
翻譯結果
Flag
Flag 1:
Your usual wordlists probably won’t work, so instead, maybe you just need to be cewl.
More passwords is always better, but sometimes you just can’t win them all.
Log in as one to see the next flag.
If you can’t find it, log in as another.
看到workpress的cms我們就好辦了kali有個工具wpscan專門打它
我們先掃一下目錄
找到登陸頁面
根據提示用cewl生成密碼字典
至於使用者名稱我們可以用wpscan生成
cewl http://dc-2/ -w 1.txt
wpscan --url dc-2 -e u
//找到使用者名稱
把三個使用者名稱放到一個檔案裡
開始爆破
爆出它兩個的密碼登陸試一下
在jerry中找到了flag2
Flag 2:
If you can't exploit WordPress and take a shortcut, there is another way.
Hope you found another entry point.
提示我們還有一個入口
我們能想到是ssh登入
jarrp死活登不上去
就用tom登入了
有rbash限制
rbash逃逸
利用系統常見應用逃逸
我們先看一下都能利用那些命令
compgen -c
發現有vi
vi隨便開啟檔案直接
:set shell=/bin/sh
:shell
即可
成功
但是cat命令還是不能執行這是環境變數的問題
看一下flag3的內容
Poor old Tom is always running after Jerry. Perhaps he should su for all the stress he causes.
提醒我們用su去登陸jerry
進入後找到flag4
Good to see that you've made it this far - but you're not home yet.
You still need to get the final flag (the only flag that really counts!!!).
No hints here - you're on your own now. :-)
Go on - git outta here!!!!
提示我們git
那我們就用git繼續提權
git提權
除了git我們好像也沒有什麼方法
通關