DC-2
打点
nmap 开扫
开放了80和7744,但是发现7744端口其实是ssh服务,等下可以登录试试
再利用nmap的漏洞扫描试试
sudo nmap --script=vuln -p80,7744 192.168.54.194
发现了几个用户名,先记录一下,admin,tom,jerry,
去80看看
虽然url上面显示了dc-2,但是却打不开,说明域名解析可能有问题,我们去修改一下域名解析
sudo vim /etc/hosts
添加这一行,再去网页端看看,可以打开了
还有一个显眼的flag,去查看一下内容
意思就是 1.需要爆破,密码可以用cewl这个工具生成
2.如果一个账号不行那就换个账号
先使用cewl这个工具生成一个密码本
刚刚nmap登录已经发现了后台地址为wp-admin,框架应该是wordpress,后续可以使用wpsacn试试
访问后台地址
利用wpscan爆破登陆一下,我们已经有了账户名(admin,tom,jerry)和密码的字典,如果没有这些的情况下建议使用burpsuite,感觉这个wpscan好慢
现在有了两个用户名和密码
jerry/adipiscing
tom/parturient
好像也没啥东西,这里可以去查一下wordpress的插件漏洞,我选择去ssh,登录,
登陆不了,换个账号
登录成功
有一个rbash限制
换一个办法绕过
echo P A T H 查看环境变量 e c h o / h o m e / t o m / ∗ 根据上面的环境变量,查看能使用的命令根据命令去查找可以去绕过的命令利用 B A S H C M D S 绕过 r b a s h B A S H C M D S [ A ] = / b i n / b a s h A e x p o r t P A T H = / b i n : / u s r / b i n : PATH 查看环境变量 echo /home/tom/* 根据上面的环境变量,查看能使用的命令 根据命令去查找可以去绕过的命令 利用BASH_CMDS绕过rbash BASH_CMDS[A]=/bin/bash A export PATH=/bin:/usr/bin: PATH查看环境变量echo/home/tom/∗根据上面的环境变量,查看能使用的命令根据命令去查找可以去绕过的命令利用BASHCMDS绕过rbashBASHCMDS[A]=/bin/bashAexportPATH=/bin:/usr/bin:PATH
原理
在bash的内部有一个bash表,这个bash表中有 命令->命令文件路径这样的键值对。BASH_CMDS是bash的一个内置数组,该数组下标对应命令,值对应命令文件路径。当我们将/bin/bash赋值给BASH_CMDS[A]是,那么 A就是一条命令,执行A命令就等于执行了 /bin/bash。所以当你执行A命令是,rbash发现其中没有 /,所以就会顺利的执行。
同理我们也可以指定 ls,whoami等系统命令。当你执行 BASH_CMDS[ls]=/usr/bin/whoami是,你再执行 ls,你会惊奇的发现命令行出现的是用户名,而不是陈列出目录。但是要注意的是BASH_CMDS只能改变外部命令的对应关系,对内置命令是无能为力的。
这个用户提权不了,换个用户
提权
查看一下能提权的方式,git不需要密码就能运行root
提权网站https://gtfobins.github.io/
完结撒花!