0x00 靶机环境
下载地址1:https://www.vulnhub.com/entry/dc-2,311/
下载地址2:https://pan.baidu.com/s/1dTGGz47-hPiGyPyOlmvRqQ 提取码: deyr
还是一样,有5
个flag
,不过最重要的就是final flag
,只要拿到这个就行了。
开肝。
0x02 渗透流程
flag1
nmap
走起
地址比较少,很快能确定,接着看端口信息。
常用端口就开放了一个80
,先弄着。
登陆后,发现服务器未找到,且IP地址变成了一个域名,打开控制台发现有301
重定向
想到可以在本地C:\Windows\System32\drivers\etc\host
文件写绑定
写好后再尝试访问
成功访问,图上就有两信息,一是wordpress
,二是有个Flag
,先看Flag
提示
直接拿到flag1
flag2
根据提示好像得去干暴力破解的活,根据提示需要使用cewl
重新生成字典。
页面点了一圈,没看到登陆页,御剑扫一波
第一个页面为说明,没有看到有利用的,wp-includes
这有一个目录浏览的漏洞
暂时没发现价值,接着都点开了看下,最终在install.php
内发现了登陆页面
点Log In
后可以看到登陆页面
随手点了两个用户名,先是admin
提示用户名的密码不对,感觉有逻辑漏洞的,再试试另外一个用户aaa
提示的是用户名不存在,可以对用户名进行爆破了。
这里我用msf
来找现成的,但是由于做了重定向,所以也得在kali
里面修改/etc/hosts
文件
修改好后,在msfconsole
中搜索wordpress
找到登陆枚举的模块,进行爆破
msf6 > use 23
msf6 auxiliary(scanner/http/wordpress_login_enum) > show options
msf6 auxiliary(scanner/http/wordpress_login_enum) > set rhosts dc-2
rhosts => dc-2
msf6 auxiliary(scanner/http/wordpress_login_enum) > exploit
成功爆出用户名
接着使用提示的rewl
来生成字典,感觉密码应该不会少于6位,这样搜集的信息就比较少了。
接着在burpsuite
中跑用户名和密码
jerry
爆破出结果了,接着登陆尝试
登陆成功,找了一圈没发现啥有效信息,只看到了这个版本信息。但是还发现了一个有意思的地方,就是用户名这里。
居然是Jerry Mouse
,那会不会还有Tom Cat
,再跑一次。
还真有,再登陆一次,然而还是啥都没找到,卧那个x,最后还是在jerry
账号里面找到了,但是为啥和第一次看到的内容不一样,这么神奇的吗。。。不过tom
和jerry
账号权限确实有点不一样。
点开flag2
,flag
是之前的。
flag3
上面提示如何搞不定wp
的话就换个点,去找了一波wp 4.7.10
的漏洞,无奈没找到对应的漏洞,只能先放弃了。
但是我现在也没其它的切入点了,只有80
端口,wp
也拿不下来,但是题目说有其它的点,而且刚刚找的tom
账号没有用上,另外一个点就是admin
账号没有拿下来,结合这些想了下,大概是还有什么服务没探测出来,只能再拿nmap
扫一遍了。
还真有没扫出来的端口,用telnet
连一下看下banner
SSH
,还有刚刚没用上的tom
账号,试试看,成功登陆,同时试了下jerry
登陆不上,看来分析的还挺准的。
接着找flag
目录下找到了flag3.txt
但是发现不少命令不能敲,tab
也不能用,shell
不是常用的/bin/bash
,最后通过vi
看到了内容
flag4
这是考英语吗,感觉没啥提示啊,我还误以为可以使用su
,呵呵!
压根不支持好吧。。。在本路径下的usr
下找到了能够支持的命令
看了一圈,又没思路了。这里又想了一会,有两个点,一个是rbash
,另外一个是scp
,突然想着,不会jerry
不能登陆,但是可以使用scp
吧,试试!
逗我玩呢,看来还是得回到rbash
上,百度查了下资料,搜到如下信息
感觉还是有点讲究的,不过这scp
试了会没玩懂,用vi
吧
vi
:set shell=/bin/bash
:shell
此时回到命令行界面的shell
,即为/bin/bash
,接着使用export
改变环境变量即可正常使用su
登陆成功,拿到了flag4
finalflag
上面提示说没有提示,只能靠自己,但是最后一句git outta here
又是啥,傲娇的作者,明显用git
吧,先看suid
提权find / -perm -u=s -type f 2>/dev/null
可以用sudo
,但是仍然权限不够
但是通过sudo -l
发现了关键点。
git
来了,接着使用git
提权,sudo git help show
回车后,即可拿到root
权限
搞定,感觉比dc1
难那么一些!
0x03 总结
admin
账号没拿到,scp
的用法没学会,wp
也没日下来,还是先睡觉了!