准備工作
在vulnhub官網下載DC:2靶機https://www.vulnhub.com/entry/dc-2,311/
導入到vmware
打開kali准備進行滲透(ip:192.168.200.6)
信息收集
利用nmap進行ip端口探測
nmap -sS 192.168.200.6/24
探測到ip為192.168.200.13的主機開放了80端口
訪問192.168.200.13:80,一直轉圈無法打開,后來重定向到了這個網站www.dc-2.com
需要手動配置hosts文件,靶機ip對應的dc-2域名里添加進去
vi /etc/hosts
在網站找到了flag1
flag1提示我們使用cewl對這里進行掃描獲得密碼字典
cewl http://dc-2/index.php/flag/ > pwd.dic
將掃到的密碼字典保存下來
目前網站已經沒有別的信息了,接下來先把網站掃一遍看看有沒有別的入口
使用dirsearch
python3 dirsearch.py -u http://192.168.200.13:80
發現一個后台登陸的界面http://dc-2/wp-login.php,框架是wordpress
wpscan掃描用戶
使用kali自帶的工具wpscan(wordpress框架專門的漏洞掃描工具)列舉出所有用戶
wpscan --url http://dc-2/ -e u
發現admin、jerry、tom三個用戶,結合我們剛剛拿到的密碼字典,可以進行爆破
使用BP帶的爆破模塊,選擇Cluster bomb模式,將用戶和密碼設置為變量
再將第一個變量設置為admin、jerry、tom,第二個變量導入為剛剛獲得的密碼字典
進行爆破,根據返回的長度,獲得兩個匹配的賬號密碼
tom——parturient
jerry——adipiscing
先登陸tom看看
在這里找到了flag2,jerry也是一樣的
提示我們除了利用wordpress還有另一個方法,但找了很久不知道什么方法,看了一下別人的通關記錄才發現,剛剛nmap掃描的時候沒有掃透應該使用 nmap -p- 192.168.200.13 掃描所有范圍的端口,才能掃到7744端口
但是這樣卻掃不出是什么服務使用nmap -sV -p- 192.168.200.13就能看到是ssh服務
知道了是ssh就用剛剛的賬號密碼嘗試連接看看
成功連上,看到了flag3.txt
用了cat命令和vim都打不開,后面試了vi就可以打開了
可憐的老湯姆總是在追傑瑞。也許他應該為自己造成的壓力負責。
提示使用su,tom和jerry都是用戶,應該是要切換到jerry
看看別的文件夾有沒有信息,但是cd命令給限制了,su切換到jerry也不行
繞過rbash
找資料發現需要繞過rbash
參考文章RBash - 受限的Bash繞過 - 雲+社區 - 騰訊雲 (tencent.com)
輸入vi 打開編輯器,然后輸入:set shell=/bin/bash,再執行命令:shell,就可以繞過rbash
獲取權限后就可以cd查看別的文件夾
看到上級文件夾有一個jerry,進去后發現flag4.txt,用vi打開查看
沒有提示了 ,直接讓我們進到home里,但是卻提到了git outta here,應該是git提權
但發現剛剛那個繞過方式不能使用su切換到jerry,再換一種繞過方式看看
BASH_CMDS[a]=/bin/sh;a //注:把/bin/bash給a變量`
export PATH=$PATH:/bin/ //注:將/bin 作為PATH環境變量導出 export PATH=$PATH:/usr/bin //注:將/usr/bin作為PATH環境變量導出
成功繞過 ,登陸jerry
但是當訪問root文件夾時卻權限不夠,嘗試使用git提權
git提權
輸入如下命令,會強制進入交互狀態
sudo git -p --help
再調用bash
!/bin/bash
成功提權,現在就能以root身份執行命令了,進入root獲得最終flag
參考文章
rbash繞過_一只小白@的博客-CSDN博客_rbash繞過
Vulnhub -- DC2靶機滲透 - Gh0st_1n_The_Shell - 博客園 (cnblogs.com)