【Vulnhub靶机渗透测试】之DC-2 （git命令提权）

Vulnhub靶机渗透测试之DC-2

---

• 环境搭建

1. 靶机镜像下载地址：https://www.vulnhub.com/entry/dc-2,311/；

2. 需要将靶机和kali攻击机放在同一个局域网里；

3. kali的IP地址：192.168.40.142。

1. 信息收集

1. 使用 nmap 扫描 192.168.40.0/24 网段存活主机

发现靶机IP为：192.168.40.143。

2. web指纹识别

发现该网站是wordpress，属于cms系统之一

3. 使用 nmap 扫描靶机端口信息

发现开放了80、7744端口。

4. 访问靶机的80端口
   发现它自动进行了域名解析，跳转到了DC-2的域名，但我们并访问不到，需要修改本地hosts文件：

192.168.40.143 DC-2

发现：

• 发现是一个WordPress site网站；

• 找到flag1，得到提示信息关键字cewl： Cewl是一个通过指定url及深度，使用爬虫技术，生成字典的一个工具。

使用该工具爬取cd-2网站：

# 爬取该网站，生成pwd.dic文件
cewl dc-2 >pwd.dic

结果：总计爬取到239个单词（作为密码字典）

5. 网站目录扫描

1）工具一：DirBuster，它支持全部的Web目录扫描方式。它既支持网页爬虫方式扫描，也支持基于字典暴力扫描，还支持纯暴力扫描。

2）工具二：dirb，它是一个类似windows下御剑这些目录扫描工具。

基本参数：

-a "User-Agent"    设置UA
-c "cookie"        设置cookie带cookie扫描
-o                 输出结果

基本扫描，可以扫描出目录和状态码，这里大部分重定向了：

3）使用msf辅助模块，扫描网站的目录

访问：http://192.168.40.143/wp-includes

2. 漏洞利用

1. 使用wpscan工具扫描该网站

由于该网站是一个WordPress site，我们可以使用WPScan是Kali默认自带的一款漏洞扫描工具进行扫描检测。

WPScan能够扫描WordPress网站中的多种安全漏洞，其中包括WordPress本身的漏洞、插件漏洞和主题漏洞，它不仅能够扫描类似robots.txt这样的敏感文件，而且还能够检测当前已启用的插件和其他功能。

更新工具：

扫描网站列出该网站一些用户：wpscan --url dc-2 -e u

这里我们发现三个用户admin、jerry、tom，选择爆破密码。

2. 爆破密码

创建用户名字典：

使用wpscan爆破用户名密码，密码字典就是上面生成的pwd.dic：

wpscan --url dc-2 -U users.dic -P pwd.dic

爆破出密码：

3. 进入网站后台，使用上面账密登录

再尝试用jerry登录，发现flag2：

4. 使用九头蛇爆破7744端口的账密

hydra -L users.dic -P pwd.dic ssh://192.168.40.143 -s 7744 -vV -f

5. 使用上面的账密ssh连接

发现flag3，但是cat命令无法使用！

绕过-rbash：

BASH_CMDS[a]=/bin/sh;a
/bin/bash

但是cat命令还是不能使用，这里还需要导入环境变量里：

export PATH=$PATH:/bin/
export PATH=$PATH:/user/bin

成功获得flag3，提示信息指向jerry。

6. 查看passwd文件

发现jerry用户，尝试使用上面爆破出来的密码登录：

发现flag4，已经没有什么提示了，唯一提示是 -git，考虑使用git命令进行提权。

3. 提权

查看sudo可以执行的命令：

发现git命令具有root权限且不需要密码：

git提权：

使用命令 sudo git -p --help 强制进入交互状态，让页面缓冲区无法显示全部信息(放大字体即可)。

成功拿到root权限！