準備工作
在vulnhub官網下載DC:1靶機https://www.vulnhub.com/entry/dc-2,311/
匯入到vmware
開啟kali準備進行滲透(ip:192.168.200.6)
資訊收集
利用nmap進行ip埠探測
nmap -sS 192.168.200.6/24
探測到ip為192.168.200.13的主機開放了80埠
訪問192.168.200.13:80,一直轉圈無法開啟,後來重定向到了這個網站www.dc-2.com
需要手動配置hosts檔案,靶機ip對應的dc-2域名裡新增進去
vi /etc/hosts
在網站找到了flag1
flag1提示我們使用cewl對這裡進行掃描獲得密碼字典
cewl http://dc-2/index.php/flag/ > pwd.dic
將掃到的密碼字典儲存下來
目前網站已經沒有別的資訊了,接下來先把網站掃一遍看看有沒有別的入口
使用dirsearch
python3 dirsearch.py -u http://192.168.200.13:80
發現一個後臺登陸的介面http://dc-2/wp-login.php,框架是wordpress
wpscan掃描使用者
使用kali自帶的工具wpscan(wordpress框架專門的漏洞掃描工具)列舉出所有使用者
wpscan --url http://dc-2/ -e u
發現admin、jerry、tom三個使用者,結合我們剛剛拿到的密碼字典,可以進行爆破
使用BP帶的爆破模組,選擇Cluster bomb模式,將使用者和密碼設定為變數
再將第一個變數設定為admin、jerry、tom,第二個變數匯入為剛剛獲得的密碼字典
進行爆破,根據返回的長度,獲得兩個匹配的賬號密碼
tom——parturient
jerry——adipiscing
先登陸tom看看
在這裡找到了flag2,jerry也是一樣的
提示我們除了利用wordpress還有另一個方法,但找了很久不知道什麼方法,看了一下別人的通關記錄才發現,剛剛nmap掃描的時候沒有掃透應該使用 nmap -p- 192.168.200.13 掃描所有範圍的埠,才能掃到7744埠
但是這樣卻掃不出是什麼服務使用nmap -sV -p- 192.168.200.13就能看到是ssh服務
知道了是ssh就用剛剛的賬號密碼嘗試連線看看
成功連上,看到了flag3.txt
用了cat命令和vim都打不開,後面試了vi就可以開啟了
可憐的老湯姆總是在追傑瑞。也許他應該為自己造成的壓力負責。
提示使用su,tom和jerry都是使用者,應該是要切換到jerry
看看別的資料夾有沒有資訊,但是cd命令給限制了,su切換到jerry也不行
繞過rbash
找資料發現需要繞過rbash
參考文章RBash - 受限的Bash繞過 - 雲+社群 - 騰訊雲 (tencent.com)
輸入vi 開啟編輯器,然後輸入:set shell=/bin/bash,再執行命令:shell,就可以繞過rbash
獲取許可權後就可以cd檢視別的資料夾
看到上級資料夾有一個jerry,進去後發現flag4.txt,用vi開啟檢視
沒有提示了 ,直接讓我們進到home裡,但是卻提到了git outta here,應該是git提權
但發現剛剛那個繞過方式不能使用su切換到jerry,再換一種繞過方式看看
BASH_CMDS[a]=/bin/sh;a //注:把/bin/bash給a變數`
export PATH=$PATH:/bin/ //注:將/bin 作為PATH環境變數匯出
export PATH=$PATH:/usr/bin //注:將/usr/bin作為PATH環境變數匯出
成功繞過 ,登陸jerry
但是當訪問root資料夾時卻許可權不夠,嘗試使用git提權
git提權
輸入如下命令,會強制進入互動狀態
sudo git -p --help
再呼叫bash
!/bin/bash
成功提權,現在就能以root身份執行命令了,進入root獲得最終flag
參考文章
rbash繞過_一隻小白@的部落格-CSDN部落格_rbash繞過
Vulnhub -- DC2靶機滲透 - Gh0st_1n_The_Shell - 部落格園 (cnblogs.com)