DC:2靶机 通关详解

信息收集

DC:2靶机 通关详解_第1张图片
开放80端口
访问看看
发现访问不了,回去看了一眼介绍
DC:2靶机 通关详解_第2张图片
要手动改一下hosts
DC:2靶机 通关详解_第3张图片

现在可以正常访问了
直接拿到flag1
DC:2靶机 通关详解_第4张图片
在网站最后发现是wordpress的站点
在这里插入图片描述
wpscan开扫
版本4.7.10 存在很多漏洞
再扫个路径看看
DC:2靶机 通关详解_第5张图片
这里能到后台
结合flag1所说的,常规字典不好使了,可能需要cewl
我们使用cewl跑过一个字典
在这里插入图片描述

然后burp爆破
用admin账号爆破失败了

尝试用wpscan去跑用户名

--enumerate u

DC:2靶机 通关详解_第6张图片
那么三个用户都爆破一下
在这里插入图片描述
成功爆破出tom和jerry的密码
尝试登录
登录jerry得到flag2
DC:2靶机 通关详解_第7张图片
说不要再搞wordpress了
那么转换思路
nmap默认扫描端口就一千多个,我们扫全端口
DC:2靶机 通关详解_第8张图片
DC:2靶机 通关详解_第9张图片
7744端口存在ssh服务
考虑爆破,无果
想到之前的tom和jerry
尝试登录
在这里插入图片描述
尝试cat flag3.txt
在这里插入图片描述
提示没有这个命令,我们看看rbash是怎么一回事
与常规bash不同 rbash是受限的bash
那么我们可以考虑rbash逃逸或者说用仅有的方法完成一些事情
逃逸方法可以参考如下文章
https://blog.csdn.net/qq_43168364/article/details/111830233
https://xz.aliyun.com/t/7642
DC:2靶机 通关详解_第10张图片

发现less可用
读flag3顺便逃逸(失败了,不让用/)

less f*
!/bin/bash

在这里插入图片描述
flag3的内容说tom跑的慢啥的,就是暗示jerry权限高
需要想办法到切换到jerry用户
这里还是先逃逸
DC:2靶机 通关详解_第11张图片
逃逸完尝试登录jerry

su jerry 
adipiscing

登录成功
继续尝试提权
那么为什么不在tom用户提取?
tom给ban太多东西了,能有个稍微高点权限的用户更好
在这里插入图片描述
git命令可以sudo
尝试提权

sudo git -p help config
!/bin/sh

成功
DC:2靶机 通关详解_第12张图片
DC:2靶机 通关详解_第13张图片
拿下了
看看flag4和final-flag
DC:2靶机 通关详解_第14张图片
flag4叫我们git提权
已经提了
final-flag
DC:2靶机 通关详解_第15张图片
结束

你可能感兴趣的:(内网打靶,linux,服务器,运维,网络安全,bash)