1.信息搜集

1.使用arp-scan扫描地址

sudo arp-scan -l

2.使用nmap扫描端口

nmap 192.168.100.147 -p 1-65535

3.使用dirb扫描子域名

dirb http://192.168.100.147 /usr/share/dirb/wordlists/big.txt

该目录下还有很多字典可以用，不一定非要纠结于big.txt，而dirb本质上来说是一种爆破工具。

然而当我们访问页面时，居然发现访问不了！

不慌，我们打开本地代理，将该页面设为本地代理

现在可以正常访问了，并且可以看到flag

大意：普通字典可能无法破解，你需要cewl

2.爆破用户名

cewl

cewl是一款kali linux自带的爬虫工具，会自动爬取给定url，并返回一个字典

查看cewl后， 发现如下选项

由于我们一会儿还要爆破密码，所以此时我们先用-w保存到一个字典中

cewl -w passwords.txt http://dc-2

生成字典并且查看字典

得知网站的CMS时wordpress，尝试在msf中搜索有无漏洞

一连找了好几个exp，都需要wp的登陆密码（我要有密码还要你干啥）

算了，用wpscan爆破一下吧

wpscan

WPScan是Kali Linux默认自带的一款漏洞扫描工具，它采用Ruby编写，能够扫描WordPress网站中的多种安全漏洞，其中包括WordPress本身的漏洞、插件漏洞和主题漏洞。

常用选项

--update  更新到最新版本
--url   | -u <target url>  要扫描的Wordpress所在的URL
--force | -f   不检查网站运行的是不是wordpress
​ --enumerate | -e [option(s)]  枚举

其他选项

    u 枚举用户名，默认从1-10
    u[10-20] 枚举用户名，配置从10-20
    p 枚举插件
    vp 只枚举有漏洞的插件
    ap 枚举所有插件，时间较长
    tt 列举缩略图相关的文件
    t 枚举主题信息
    vt 只枚举存在漏洞的主题
    at 枚举所有主题，时间较长
    可以指定多个扫描选项，例："-e tt,p"
    如果没有指定选项，默认选项为："vt,tt,u,vp"
    --exclude-content-based "<regexp or string>"
    当使用枚举选项时，可以使用该参数做一些过滤，基于正则或者字符串，可以不写正则分隔符，但要用单引号或双引号包裹
    --config-file | -c <config file使用指定的配置文件
    --user-agent | -a <User-Agent指定User-Agent
    --cookie <String指定cookie
    --random-agent | -r 使用随机User-Agent
    --follow-redirection 如果目标包含一个重定向，则直接跟随跳转
    --batch 无需用户交互，都使用默认行为
    --no-color 不要采用彩色输出
    --wp-content-dir <wp content dirWPScan会去发现wp-content目录，用户可手动指定
    --wp-plugins-dir <wp plugins dir指定wp插件目录，默认是wp-content/plugins

--proxy <[protocol://]host:port设置一个代理，可以使用HTTP、SOCKS4、SOCKS4A、SOCKS5，如果未设置默认是HTTP协议
--proxy-auth <username:password设置代理登陆信息
--basic-auth <username:password设置基础认证信息
--wordlist | -w <wordlist指定密码字典
--username | -U <username指定爆破的用户名
--usernames <path-to-file指定爆破用户名字典
--threads | -t <number of threads指定多线程
--cache-ttl <cache-ttl设置 cache TTL
--request-timeout <request-timeout请求超时时间
--connect-timeout <connect-timeout连接超时时间
--max-threads <max-threads最大线程数
--throttle <milliseconds当线程数设置为1时，设置两个请求之间的间隔
--help | -h 输出帮助信息
--verbose | -v 输出Verbose
--version 输出当前版本
 

 

 

 

 

 

 

 

 

 

 

 

 

这里我们使用wpscan  –url <url> –enumerate u（枚举用户名） 

得到tom,jerry,admin三个用户

结合之前的password.txt，我们再次使用wpscan进行密码爆破

wpscan –url<url> -P password.txt

找到了tom和jerry的用户名和密码

登录wp

使用tom进行登录

并没有发现什么有用的信息，我们再使用jerry登录

希望我用另一种方式登录

这里用ssh连接，虽然ssh端口默认为22号，但是也可以修改为其他号码

登陆成功！

3.提权

进入靶机之后，首先应该看一下有什么东西

果不其然有flag3，查看一下

？？？没有找到命令

左边的-rbash成功引起了我的注意力，百度一下吧，谁又不是面向百度渗透呢

 

受限shell是LinuxShell限制一些bash shell中的功能，并且是从名字上很清楚。 该限制很好地实现了命令以及脚本在受限shell中运行。 它为Linux中的bash shell提供了一个额外的安全层。

这里使用

BASH_CMDS[a]=/bin/sh;a
​
export PATH = $PATH:/bin/
​
export PATH=$PATH:/usr/bin

 

绕过成功，查看了flag3

登入jerry

看见了flag4.txt,然而并没有看懂是什么意思

查看whoami权限之后，也是屌丝权限

看看sudo吧！

发现有几个文件夹可以不用密码，查看之后，只能进入git

这里涉及到linux提权

https://www.cnblogs.com/zaqzzz/p/12075132.html

从文章中可以看见，涉及到git提权

welldone！

来源：freebuf.com 2020-07-22 14:33:35 by: Doubt0