靶机DC-2练习:通过rbash绕过获取shell,使用git命令提权

1.主机发现

靶机IP地址:192.168.109.163

2.扫描目标服务版本

3.发现80端口,访问主页

访问失败

很显然,本地不解析该域名,在/etc/hosts文件中添加即可

再次刷新网页

单击首页左下角

发现flag1:出现疑似用户名cewl,登录后找下一个flag

网页其他模块未发现有效信息,接下来扫描一下后台目录

4.工具扫描后台目录

访问第一个目录

很显然,刚刚得到的cewl不是用户名,搜索发现是kali-linux的密码攻击工具,可以生成密码

访问第二个目录,发现php文件基本都是空白页,未发现有效信息

剩余三个目录未发现有用信息,那就直接从wordpress,有专门的扫描工具wpscan,之前的靶机lazysysadmin也有用到过

扫描wordpress下有哪些用户(注:参数不对扫描不出来)

……

发现了三个用户jerry、admin、tom,写入dc-2-users.txt

至此,用户本和密码本已经具备,可使用工具匹配

方法一:继续使用wpscan

只获取得出了jerry和tom

方法二:使用burpsuite

方法三:kali自带的hydra

hydra -L dc-2-users.txt -P dc-2.txt dc-2 http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'

5.使用获得的用户名密码进行SSH登录

使用jerry登录,不知道什么原因,试了好几次没有成功

切换成tom用户成功,查看权限

很显然,一些命令被禁止执行了,尝试进行rbash绕过

可参考:https://www.freebuf.com/articles/system/188989.html

rbash就是受限制的bash,一般管理员会限制很多命令

6.查看可使用命令

可用命令有less、ls、scp、vi,绕过可用如下方法:

  • 可使用less绕过:$less test    然后!'sh'
  • 使用ls绕过:$man ls    然后!'sh'
  • 使用vi绕过:$vi test    然后:!/bin/sh 或者 :!/bin/bash

还可以用  BASH_CMDS[a]=/bin/sh;a 直接绕过

查看flag3还有点问题,应该是环境变量问题

7.更改环境变量,并查看flag3.txt

感觉自己翻译的怪怪的,总之接下来就是要切换用户jerry,并查看目录以及查看权限

发现flag4.txt,并查看

看到一个特别的关键词git,查看sudo配置文件

8.尝试git提权:可使用$sudo git help config 或者 $ sudo git -p help

提权成功

查看根目录,发现final-flag文件

©️2020 CSDN 皮肤主题: 精致技术 设计师:CSDN官方博客 返回首页