VulnHub——DC-2
阿新 • • 發佈:2020-08-24
測試環境
DC-2:192.168.5.152
Kali:192.168.5.128
資訊收集
區域網內主機存活
埠服務資訊掃描
Hosts檔案解析
輸入IP無法直接訪問web網站,在hosts檔案進行解析後方可
vim /etc/hosts #vim開啟hosts檔案 輸入 192.168.5.152 dc-2
web指紋識別掃描
網站目錄掃描
發現是wordpress搭站,並且可以訪問wp-admin
GetShell
後臺登陸頁面
嘗試弱口令、萬能密碼等繞過方式失敗
wpsacn使用者列舉
wpscan --url http://dc-2 -eu
暴破後臺
使用cewl命令爬取網頁關鍵詞生成字典,這種字典比較有針對性,成功率大大提高
抓個包,準備暴破
暴破成功
使用者名稱:tom,密碼parturient
使用者名稱:jerry,密碼adipiscing
成功登入到後臺,但是沒有發現上傳點、命令執行等利用點
SSH登入目標伺服器
目標伺服器開啟SSH服務,使用使用者名稱密碼登入到伺服器
提權
rbash逃逸
輸入任何命令都被限制,嘗試rbash逃逸,參考:https://xz.aliyun.com/t/7642 大佬文章
可以使用vi命令,進入vi輸入set shell=/bin/bash
再次輸入shell,進行逃逸
檢視passwd檔案發現逃逸失敗了
新增環境變數
逃逸失敗,原因有很多,這裡參考大佬的思路,新增環境變數/bin
Git提權
切換jerry使用者,sudo -l檢視,發現可以使用git方式提權
輸入 sudo git help config進入git幫助頁面
再次輸入!/bin/bash
成功提權
總結
1、Wordpress搭站配合wpscan工具,可以列舉使用者等資訊
2、拿到shell後,如果限制命令,考慮rbash逃逸,先檢視可以使用的命令,對應逃逸
3、逃逸後執行失敗,嘗試新增/bin/bash環境變數
4、git提權:git -p 以分頁的形式顯示幫助資訊,預設呼叫more展示