本文共 1333 字，大约阅读时间需要 4 分钟。

靶场下载链接：

Download:

Download (Mirror):Download (Torrent): (Magnet)

提权辅助工具LinEnum下载：

提权辅助工具linuxprivchecker下载：

首先获取目标主机IP：

使用netdiscover -i eth0 -r 192.168.88.1/24进行网络扫描，发现目标主机IP为192.168.88.189。

对端口进行扫描，只开放了Web服务：

通过nmap -sS -p- 192.168.88.189，发现目标主机开放了多个端口，其中包括80端口的Web服务。

配置本地DNS解析：

在本地hosts文件中添加目标IP地址和对应的域名，例如：192.168.88.189 dc-2

成功访问Web服务：

通过访问http://dc-2，确认目标主机正在运行WordPress服务。

利用cewl生成字典并进行密码猜测：

cewl是用于从网页爬取关键字并生成字典的工具，可以帮助我们更有针对性地进行密码猜测。

使用dirb进行目录扫描：

dirb -r /path/to/wordlists/cewl-generated-wordlist，可以帮助我们发现网站的后台路径或隐藏目录。

发现多个遍历点，但没有可下载的内容：

虽然发现了多个路径，但由于内容无法下载，我们需要进一步分析。

进行用户枚举：

使用wpscan -e u http://dc-2，枚举出多个用户名，例如jerry和tom。

生成密码字典并进行爆破：

结合rockyou.txt中的常见密码和枚举出的用户名，生成对应的字典文件，例如dc2.txt。

使用wpscan进行更高效的密码爆破：

wpscan -u http://dc-2 -p /usr/share/wordlists/dc2.txt -U /root/dc2.txt，可以帮助我们更快地找到有效的用户名和密码组合。

成功获取访问权限：

通过爆破，我们发现用户名jerry的密码是adipiscing，用户名tom的密码是parturient。

访问后台管理界面：

登录后台管理界面后，进一步分析系统信息。

进一步探测发现SSH端口：

使用nmap -sV -p 7744 dc-2，发现SSH端口开放。

尝试SSH登录：

使用枚举出的用户名和密码组合进行登录，发现jerry登录失败，但tom成功登录。

登录后遇到RBASH限制：

登录后使用rbash被限制，无法执行普通命令。

绕过RBASH限制：

通过查找系统中的SUID可执行文件，例如/bin/sh，可以绕过RBASH限制。

切换到jerry账户：

在jerry的主目录下找到第四个flag。

利用Git提权：

发现flag4提示我们可以使用Git进行提权。

检查SUID文件：

查找系统上运行的SUID可执行文件，例如find、bash等。

通过SUID文件提权：

使用sudo git -p --help，可以获得root权限。

最终发现flag：

通过!/bin/bash命令获得root权限，进入root目录下，找到最后一个flag。

这只是一个典型的网络攻防过程，充满了挑战和未知。

转载地址：http://rrqyz.baihongyu.com/