vulnhub dc-2

作者: const27 分类: All,靶机们 发布时间: 2020-07-02 16:38

升级了一下kali,花了好多时间…

学到了:渗透密码搜集爆破(cewl使用),wpscan使用,git提权,rbash绕过,同一站点账户密码可能通用的渗透思路

nmap扫一下,发现只有80端口,进网站发现wordpress搭的。第一想法是直接msf一把梭。但是要看到主页就有flag,看看flag的内容

意思就是后台登录嘛,用御剑扫出了后台登录框

cewl是kali里的密码枚举工具,通过爬网站的内容推测出密码。
然后我用跑出的密码去爆破admin,发现爆破不出来,无奈了很久看了看wp,原来要用到wpscan这个专门扫描wordpress站的工具

输入命令wpscan –url http://dc-2/ –enumerate u 即可扫描出后台存在的用户.

结合cewl爆破的密码 cewl http://dc-2

爆破一下,进入后台

得到flag2

试试msf一把梭,其实还想直接edit一下外观或插件源码写个后门连上去的,结果发现这个用户权限不够

msf上的exp都试了试没用,试试用tom进后台?

也没啥用,我又去看wp了,原来tom的账户密码可以直接在shell上登陆…

进来ls就发现flag文件,用cat不能读取,那就用个相近的less吧

读取./usr/bin发现能用的命令少的可怜

发现有个scp命令可以用,这个命令可以把本地的文件通过ssh发送到远程,也可以从远程通过ssh发送文件到本地 https://www.runoob.com/linux/linux-comm-scp.html

我们先把/usr/bin 或/bin里的命令通过转发给攻击机,再从攻击机上下载回来的方式,获得几个命令

就像这样,我们获得了find,通过find / -name “*flag*”我们得到的flag4的位置

提示了git,可以试试git提权(实质就是more提权)
git help config,会用more打开git的帮助文档,在此中就可以!command 尝试提权了,但是find查找了一下,git没有suid。又不会了…

在此提一下,用scp绕过rbash只是一种手段,rbash绕过还有很多手段,具体绕过办法参考:http://www.const27.com/2020/07/02/vulnhub-dc-2/

看wp,原来jerry那个号也可以登陆上去的….而且那个号再sudo用户组里
sudo -l发现git是可以被sudo的。
然后直接 sudo git help config,进入more后 !/bin/bash得到root权限

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!

1 Comment

Leave a Reply

Your email address will not be published. Required fields are marked *

标签云