玩波dc2

首先使用nmap得出存活主机

 

 直接访问ip访问不了，在/etc/hosts中添加ip dc-2可以访问发现是wp

 

接下来使用nmap做最初的扫描

 

 

 

 得出来后台目录和几个用户名hhhh(超喜欢nmap的说)

首页亦有提示使用cewl生成密码

 

root@kali:~# cewl dc-2 > pass.dic 生成一波

再把nmap扫的那3用户名添加一个usr.dic。用wpscan冲一波

root@kali:~# wpscan --url http://dc-2 -U usr.dic -P pass.dic 。冲出来了结果

 

 我先用tom登录的，flag页面进不去。用jerry登录就有了

 

 提示其它入口，emmm，-p- nmap端口多扫点（滑稽），发现ssh在7744端口

用 jerry，杰瑞被禁止访问了，哦，我的小杰瑞。

 

 

 tom成功了。ls一下发现flag3.txt

cat时发现是rbash。被限制了

 

 

可以用vi看看flag3

 让提权到jerry。这可还行，rbash怎么绕到洒家知识盲区了。洒家看看再来继续搞。

来啦来啦。https://www.cnblogs.com/xiaoxiaoleo/p/8450379.html 这里的逃逸rbash。

来逐行解释设置变量s[a]=/bin/sh;a

用bash  定义一个  a变量  然后执行a

此时从rbash变化为bash。但是无法执行命令。需要进行环境变量的设置就是上边大佬的两个export

这个时候就绕过了rbash限制。成为了完全体的tom。su到jerry里hhh

再看看flag4，hhh现在就差最后一个flag啦。

 

 

 提示git提权。查看sudo配置文件sudo -l

 

 

 

 https://www.cnblogs.com/zaqzzz/p/12075132.html#3git%E6%8F%90%E6%9D%83

大佬的提权集合hhh，我用的第二个命令提权

 

 

 

结束