【writeup】DC:2靶机
本文共 2026 字,大约阅读时间需要 6 分钟。
【writeup】DC:2靶机
前言
靶机环境:
kali攻击机IP:192.168.128.128 靶机IP:192.168.128.129过程
根据靶机的说明,靶机共有五个flag。靶机难度较为简单。
主机发现&端口扫描
先用nmap扫描了到靶机IP:192.168.128.129。接着扫描了下全端口,开放了80和7744端口,分别运行的是http和ssh服务,针对这两个端口再用nmap做了详细的扫描。
nmap -sS -A -p 80,7744 -oN /home/kali/dc2/nmap.txt 192.168.128.129 
http服务
先从http服务入手,打开网页看了下,用的WordPress,并且上来就能看到第一个flag提示。
根据提示理解,这里应该是要进行暴力破解账号密码,但需要用cewl工具从页面内容生成字典,密码应该就在页面中。
到目前为止,账号信息也不清楚,一开始我以为是账号密码都是页面中获取,但页面内容貌似都是拉丁文,也看不出明显是名字的。继续用dirsearch、nikto、wpscan工具扫描下http服务。 dirsearch
dirsearch工具扫描到两个有用的页面。
- http://192.168.128.129:80/xmlrpc.php #验证存在可以暴力破解账号密码的漏洞
- http://192.168.128.129:80/wp-admin/ #会跳转到wp-login.php登录页面,根据提示可以判断是用户名错误还是密码错误,根据这个判断了下用户名确实不在cewl爬下来的字典中。
- http://192.168.128.129:80/wp-admin/admin-ajax.php #有公开漏洞,但无法利用,和靶机不匹配。
wpscan
用wpscan扫描了下网站,wpscan是具备枚举用户名的功能的(这个也是练这个靶机才知道…)。
- 扫描结果也显示了xmlrpc.php可访问,有已知漏洞。
- twentyseventeen主题版本较低,可能存在漏洞。但这个查了下,没有查到相关可利用漏洞。
- 枚举出了三个用户:admin/tom/jerry
利用wpscan工具直接对三个用户进行暴力破解。字典就是cewl爬取的字典。
用cewl生成的字典文件破解密码
| Username: tom, Password: parturient| Username: jerry, Password: adipiscing
小插曲
在扫描过程中,我确认了WordPress的版本,然后searchsploit搜索了一波,发现了一个公开漏洞,并尝试了下,成功提前获取了flag2的信息(在wpscan扫描前)。
我理解这漏洞应该属于未授权访问。 漏洞效果:
登录wpscan
利用破解出的tom和jerry账号登录wpscan。
两个账号都登录过之后,才反应过来flag1提示的后半段意思。 在两个账号中,只有jerry的账号登录后可以看到flag2提示。
根据flag2的提示,如果WordPress无法渗透进去,还有另一个可以利用的入口。 这里指的就是7744端口的ssh服务,尝试用破解的账号去登录。 - 登录jerry账号失败
- 登录tom账号成功
提权
绕过rbash
tom账户执行的是受限shell,home目录下有flag3提示。
export命令看了下PATH变量,tom运行的是/home/tom/usr/bin,只能执行less/ls/scp/vi命令,并且PATH和SHELL都是只读,没有写权限。 
用less命令看下flag3的内容。根据提示猜测是su到jerry账号。但目前还无法使用su,还是要绕过rbash。 
vi命令是存在可以绕过rbash的操作的。 - 执行
vi命令 - 输入
:set shell=/bin/sh,回车 - 输入
:shell,回车 - 执行
export PATH=$PATH:/usr/bin:/bin/bash:/bin:/bin/sh命令(按照靶机需求,应该只要加上/bin就可以了,只要能执行su应该就可以。)
切换到jerry用户
执行su jerry,使用前面破解出来的密码,成功登录jerry账号。
在home目录下有flag4提示,根据提示内容,应该是利用git进行提权(对提示的理解逐渐快准狠^ ^)。 
- 执行
sudo git -p命令(-p参数可以实现类似分页显示) - 输入
!/bin/bash,回车(此处类似more或less绕过或提权方法) 效果相当于以root权限直接运行了/bin/bash,直接获得root权限。(当git/more/less/vi等拥有suid权限的时候,可以实现同样效果)
获得最后的flag
总结
- 熟练了下wpscan工具的使用。
- 关于ssh无法登录jerry,靶机完成后看了下ssh的配置,发现限定了仅允许tom账号。
转载地址:http://dpndz.baihongyu.com/
你可能感兴趣的文章
nginx:/usr/src/fastdfs-nginx-module/src/common.c:21:25:致命错误:fdfs_define.h:没有那个文件或目录 #include
查看>>
Nginx:NginxConfig可视化配置工具安装
查看>>
ngModelController
查看>>
ngrok | 内网穿透,支持 HTTPS、国内访问、静态域名
查看>>
ngrok内网穿透可以实现资源共享吗?快解析更加简洁
查看>>
NHibernate学习[1]
查看>>
NHibernate异常:No persister for的解决办法
查看>>
nid修改oracle11gR2数据库名
查看>>
NIFI1.21.0/NIFI1.22.0/NIFI1.24.0/NIFI1.26.0_2024-06-11最新版本安装_采用HTTP方式_搭建集群_实际操作---大数据之Nifi工作笔记0050
查看>>
NIFI1.21.0_java.net.SocketException:_Too many open files 打开的文件太多_实际操作---大数据之Nifi工作笔记0051
查看>>
NIFI1.21.0_Mysql到Mysql增量CDC同步中_日期类型_以及null数据同步处理补充---大数据之Nifi工作笔记0057
查看>>
NIFI1.21.0_Mysql到Mysql增量CDC同步中_补充_更新时如果目标表中不存在记录就改为插入数据_Postgresql_Hbase也适用---大数据之Nifi工作笔记0059
查看>>
NIFI1.21.0_NIFI和hadoop蹦了_200G集群磁盘又满了_Jps看不到进程了_Unable to write in /tmp. Aborting----大数据之Nifi工作笔记0052
查看>>
NIFI1.21.0_Postgresql和Mysql同时指定库_指定多表_全量同步到Mysql数据库以及Hbase数据库中---大数据之Nifi工作笔记0060
查看>>
NIFI1.21.0最新版本安装_连接phoenix_单机版_Https登录_什么都没改换了最新版本的NIFI可以连接了_气人_实现插入数据到Hbase_实际操作---大数据之Nifi工作笔记0050
查看>>
NIFI1.21.0最新版本安装_配置使用HTTP登录_默认是用HTTPS登录的_Https登录需要输入用户名密码_HTTP不需要---大数据之Nifi工作笔记0051
查看>>
NIFI1.21.0通过Postgresql11的CDC逻辑复制槽实现_指定表多表增量同步_增删改数据分发及删除数据实时同步_通过分页解决变更记录过大问题_02----大数据之Nifi工作笔记0054
查看>>
NIFI1.21.0通过Postgresql11的CDC逻辑复制槽实现_指定表多表增量同步_增加修改实时同步_使用JsonPath及自定义Python脚本_03---大数据之Nifi工作笔记0055
查看>>
NIFI1.21.0通过Postgresql11的CDC逻辑复制槽实现_指定表多表增量同步_插入修改删除增量数据实时同步_通过分页解决变更记录过大问题_01----大数据之Nifi工作笔记0053
查看>>
NIFI1.21.0通过Postgresql11的CDC逻辑复制槽实现_指定表或全表增量同步_实现指定整库同步_或指定数据表同步配置_04---大数据之Nifi工作笔记0056
查看>>