博客
关于我
【writeup】DC:2靶机
阅读量:474 次
发布时间:2019-03-06

本文共 2026 字,大约阅读时间需要 6 分钟。

【writeup】DC:2靶机

前言

靶机环境:

kali攻击机IP:192.168.128.128
靶机IP:192.168.128.129

过程

根据靶机的说明,靶机共有五个flag。靶机难度较为简单。

主机发现&端口扫描

先用nmap扫描了到靶机IP:192.168.128.129。接着扫描了下全端口,开放了80和7744端口,分别运行的是http和ssh服务,针对这两个端口再用nmap做了详细的扫描。

nmap -sS -A -p 80,7744 -oN /home/kali/dc2/nmap.txt 192.168.128.129
在这里插入图片描述

http服务

先从http服务入手,打开网页看了下,用的WordPress,并且上来就能看到第一个flag提示。

根据提示理解,这里应该是要进行暴力破解账号密码,但需要用cewl工具从页面内容生成字典,密码应该就在页面中。
在这里插入图片描述
到目前为止,账号信息也不清楚,一开始我以为是账号密码都是页面中获取,但页面内容貌似都是拉丁文,也看不出明显是名字的。继续用dirsearch、nikto、wpscan工具扫描下http服务。

dirsearch

dirsearch工具扫描到两个有用的页面。

  • http://192.168.128.129:80/xmlrpc.php #验证存在可以暴力破解账号密码的漏洞
  • http://192.168.128.129:80/wp-admin/ #会跳转到wp-login.php登录页面,根据提示可以判断是用户名错误还是密码错误,根据这个判断了下用户名确实不在cewl爬下来的字典中。
  • http://192.168.128.129:80/wp-admin/admin-ajax.php #有公开漏洞,但无法利用,和靶机不匹配。

wpscan

用wpscan扫描了下网站,wpscan是具备枚举用户名的功能的(这个也是练这个靶机才知道…)。

  • 扫描结果也显示了xmlrpc.php可访问,有已知漏洞。
  • twentyseventeen主题版本较低,可能存在漏洞。但这个查了下,没有查到相关可利用漏洞。
  • 枚举出了三个用户:admin/tom/jerry

利用wpscan工具直接对三个用户进行暴力破解。字典就是cewl爬取的字典。

用cewl生成的字典文件破解密码
在这里插入图片描述

| Username: tom, Password: parturient| Username: jerry, Password: adipiscing

小插曲

在扫描过程中,我确认了WordPress的版本,然后searchsploit搜索了一波,发现了一个公开漏洞,并尝试了下,成功提前获取了flag2的信息(在wpscan扫描前)。

我理解这漏洞应该属于未授权访问。
漏洞效果:
在这里插入图片描述

登录wpscan

利用破解出的tom和jerry账号登录wpscan。

两个账号都登录过之后,才反应过来flag1提示的后半段意思。
在两个账号中,只有jerry的账号登录后可以看到flag2提示。
在这里插入图片描述
根据flag2的提示,如果WordPress无法渗透进去,还有另一个可以利用的入口。
这里指的就是7744端口的ssh服务,尝试用破解的账号去登录。

  • 登录jerry账号失败
  • 登录tom账号成功

提权

绕过rbash

tom账户执行的是受限shell,home目录下有flag3提示。

export命令看了下PATH变量,tom运行的是/home/tom/usr/bin,只能执行less/ls/scp/vi命令,并且PATH和SHELL都是只读,没有写权限。
在这里插入图片描述
在这里插入图片描述
less命令看下flag3的内容。根据提示猜测是su到jerry账号。但目前还无法使用su,还是要绕过rbash。
在这里插入图片描述
vi命令是存在可以绕过rbash的操作的。

  1. 执行vi命令
  2. 输入:set shell=/bin/sh,回车
  3. 输入:shell,回车
  4. 执行export PATH=$PATH:/usr/bin:/bin/bash:/bin:/bin/sh命令(按照靶机需求,应该只要加上/bin就可以了,只要能执行su应该就可以。)

在这里插入图片描述

切换到jerry用户

执行su jerry,使用前面破解出来的密码,成功登录jerry账号。

在这里插入图片描述
在home目录下有flag4提示,根据提示内容,应该是利用git进行提权(对提示的理解逐渐快准狠^ ^)。
在这里插入图片描述

  1. 执行sudo git -p命令(-p参数可以实现类似分页显示)
  2. 输入!/bin/bash,回车(此处类似more或less绕过或提权方法)
    效果相当于以root权限直接运行了/bin/bash,直接获得root权限。(当git/more/less/vi等拥有suid权限的时候,可以实现同样效果)
    在这里插入图片描述
    在这里插入图片描述

获得最后的flag

在这里插入图片描述

总结

  • 熟练了下wpscan工具的使用。
  • 关于ssh无法登录jerry,靶机完成后看了下ssh的配置,发现限定了仅允许tom账号。
    在这里插入图片描述

转载地址:http://dpndz.baihongyu.com/

你可能感兴趣的文章
Mysql8 数据库安装及主从配置 | Spring Cloud 2
查看>>
mysql8 配置文件配置group 问题 sql语句group不能使用报错解决 mysql8.X版本的my.cnf配置文件 my.cnf文件 能够使用的my.cnf配置文件
查看>>
MySQL8.0.29启动报错Different lower_case_table_names settings for server (‘0‘) and data dictionary (‘1‘)
查看>>
MYSQL8.0以上忘记root密码
查看>>
Mysql8.0以上重置初始密码的方法
查看>>
mysql8.0新特性-自增变量的持久化
查看>>
Mysql8.0注意url变更写法
查看>>
Mysql8.0的特性
查看>>
MySQL8修改密码报错ERROR 1819 (HY000): Your password does not satisfy the current policy requirements
查看>>
MySQL8修改密码的方法
查看>>
Mysql8在Centos上安装后忘记root密码如何重新设置
查看>>
Mysql8在Windows上离线安装时忘记root密码
查看>>
MySQL8找不到my.ini配置文件以及报sql_mode=only_full_group_by解决方案
查看>>
mysql8的安装与卸载
查看>>
MySQL8,体验不一样的安装方式!
查看>>
MySQL: Host '127.0.0.1' is not allowed to connect to this MySQL server
查看>>
Mysql: 对换(替换)两条记录的同一个字段值
查看>>
mysql:Can‘t connect to local MySQL server through socket ‘/var/run/mysqld/mysqld.sock‘解决方法
查看>>
MYSQL:基础——3N范式的表结构设计
查看>>
MYSQL:基础——触发器
查看>>