一、主机扫描,端口探测
扫描攻击者ip:
扫描ip的端口服务:发现80端口以及域名和7744端口
二、信息收集,探测
访问80端口
查看cms管理系统:wordpress 4.7.10
且发现flag1
web目录扫描
访问一下发现的目录,是个登录的界面
前面使用的是wordpress网站可以使用wpscan工具进行攻击
三、漏洞攻击
1,wpscan(Wordpress的专用扫描器)扫描Wordpress网站漏洞
发现三个用户:写入到user.txt
2、利用cewl爬取密码
Cewl是一款采用Ruby开发的应用程序,你可以给它的爬虫指定URL地址和爬取深度,还可以添额外的外部链接,接下来Cewl会给你返回一个字典文件,你可以把字典用到类似John the Ripper这样的密码破解工具中。
有了账户密码字典,使用wpscan进行暴力破解
获得后台用户账户密码
3、登录jerry进入后台管理系统,发现flag2
翻译//如果你不能利用WordPress并走捷径,还有另一种方法。希望你找到了另一个切入点。
4、hydra爆破可以使用ssh的账户密码
再之前还探测到7744端口是ssh服务
爆破得到账户密码:
5、成功登录tom用户
四、提权
1、绕过rbash(受限的shell,有些命令功能不能使用)
cat不能用,vi可以使用
翻译//可怜的老汤姆总是追着杰瑞。 也许他应该为他造成的所有压力而苏醒。
以下是绕过rbash的方法,获得shell权限
切换到jerry用户,发现flag4
翻译//很高兴看到你已经走到了这一步 - 但你还没有回家。您仍然需要获得最终flag(唯一真正重要的flag!!!)。这里没有提示——你现在靠自己了。继续 - git outta here!!!!
2、git提权(版本控制:版本控制最主要的功能就是追踪文件的变更,记录文件信息)
上面提到了git,网上搜索有两种提权方式:
- sudo git -p help config 输入 !/bin/bash
- sudo git -p help 末行输入!/bin/bash,即可打开一个用户为root的shell
sudo -l 查看root权限且不需密码的命令,发现有git命令
开始提权
提权成功,找到最后一个flag
完成。
总结:
要点:wpscan的使用、前端爆破 cewl获取用户名、rbash设置与绕过、sudo提权
(1)rbash设置与绕过
rbash是受限的shell,它与一般标准shell的区别在于会限制执行一些行为。
常见的绕过方式:https://www.freebuf.com/articles/system/188989.html
(2)sudo提权 - git提权
(3)前端爆破 cewl获取用户名
Cewl 是以爬虫模式在指定URL上收集单词的工具,并将其制作成密码字典,以提高密码破解工具的成功率。有点撞库的意味