首页 > 其他分享 >vulnhub DC-2

vulnhub DC-2

时间:2024-07-23 22:39:49浏览次数:13  
标签:bin shell 19.129 DC 192.168 jerry vulnhub 我们

信息收集

首先我们先使用nmap来扫描探测局域网内存货的靶机

nmap -sP 192.168.19.128/24

发现局域网内存在192.168.19.129,接着扫描开放的端口

nmap -p- 192.168.19.129

得到如下两个端口

80/tcp   open  http
7744/tcp open  raqmon-pdu

我们尝试访问192.168.19.129:80,发现跳转到了http://dc-2/,但是无法对域名进行解析.我们在host文件进行DNS解析配置即可成功访问

渗透

我们首先使用whatweb进行网站的信息搜集

whatweb -v 192.168.19.129

发现网站使用的是wordpress4.7.10框架.这个版本的wordpress存在漏洞,可以通过wpscan辅助进行账号密码爆破

wpscan --url http://dc-2/ -e u

其中的-e u表示枚举用户名
发现存在admin,tom,jerry这三个用户.
我们访问这个网站发现index.php存在flag路由,提示使用cewl.
cewl是一种密码本生成工具,可以自动爬取网站上的所有单词并生成一个密码本.

cewl http://dc-2 > password

然后再将我们刚才获取到的用户名写入另一个文件中(username)
通过wpscan爆破账号密码

wpscan --url http://dc-2/ -U username -P password

得到结果

| Username: jerry, Password: adipiscing
| Username: tom, Password: parturient

接下来我们则可以去进行登录.通过dirsearch扫描得到wp-admin路由(实际上wordpress都是这个)
我们访问http://dc-2/wp-admin/在其中检索发现存在flag2,提示我们寻找一个新的入口点.
在信息搜集的时候除了80端口外还扫描出了7744端口,我们添加-A参数重新扫描一遍发现是一个ssh登录接口.
我们使用hydra工具进行ssh扫描

hydra -L username -P password 192.168.19.129 ssh -s 7744

其实这里不扫也行,因为不是tom的就一定是jerry的.
发现是tom的账户,我们进行登录,获取一个正向的shell.

ssh [email protected] -p 7744

登录后ls发现存在flag3.txt文件,但是试图使用cat命令失败,提示中出现rbash字样,说明处于首先shell rbash下.
使用vim命令失败,但是发现可以使用vi命令,构成一个shell逃逸.
输入vi,进入页面,然后可以在:后执行命令

set shell=/bin/bash

image

然后再次输入shell即可回到终端.
然而此时我们依然不能使用cat命令,因为/usr/bin目录下并没有这个环境,我们需要将更多的目录包含到环境变量中

export PATH=PATH:/usr/local/sbin:/usr/local/bin:usr/sbin:/usr/bin:/bin:sbin

然后我们再一次使用cat即可查看flag3.txt
提示我们需要su,我们猜测需要切换为jerry用户

su jerry

切换到jerry home发现存在flag4.txt文件,查看发现提示我们使用git

提权

我们通过sudo -l命令获取到我们可以执行和不可以执行的命令,发现我们可以无密码登录git
image

这里让人联想到了git缓冲区溢出漏洞.

sudo git -p

-p表示分页查看.我们缩小窗口来使用这个命令,然后给了一个!,类似vim中的,可以通过!来打开文件.

!/bin/sh

我们就获取了shell的权限,然后由于我们之前是通过sudo来打开的,所以具有超级用户权限,可以直接进入root用户

su root

然后切换到root home即可获得flag
image

标签:bin,shell,19.129,DC,192.168,jerry,vulnhub,我们
From: https://www.cnblogs.com/merak-lbz/p/18319799

相关文章

  • AD模数转换(ADC)在音频处理中的详细深度讲解
    AD模数转换(Analog-to-DigitalConversion,简称ADC)是将模拟信号转换为数字信号的过程。对于音频处理来说,ADC是音频录制、数字音频处理和传输的关键步骤。以下是对AD模数转换在音频方面的详细讲解:1.ADC的基本原理ADC的过程包括以下几个步骤:采样(Sampling):将连续变化的模拟信号在时......
  • [BJDCTF2020]Easy MD5
    [BJDCTF2020]EasyMD5Step1看源代码没线索,用burp抓包看一下:发现提示,发现输入的是password要构造使password=’or‘1的形式使之形成永真的语句md5($pass,true)应该就是将pass的值md5加密后成十六进制转换成字符这时候276f7227就是十六进制的'or',只要MD5加密成276f7227+(......
  • 基于Memotrace(留痕)、jieba、wordcloud、cnsenti的微信聊天记录分析(一)(环境准备+词
     创作背景在数字化时代,社交媒体和即时通讯工具已成为人们日常生活中不可或缺的一部分。微信,作为中国最流行的即时通讯软件之一,不仅承载了人们的日常交流,更记录了无数情感的起伏与心灵的触碰。小明,一个对生活充满好奇与热情的年轻人,最近通过微信结识了一位特别的女生——小芳......
  • DC系列靶场---DC 2靶场的渗透测试(二)
    漏洞利用及探测rbash逃逸虽然我们现在已经可以执行切换路径命令了,但是发现还有是很多命令不能用。我想看看一下目标主机的所有用户,是不能执行的。那我们就用到了当前shell逃逸。第一种情况:/被允许的情况下;直接/bin/sh或/bin/bash第二种情况:能够设置PATH或SHELL时。e......
  • 开源邮箱套件介绍系列2:Roundcube webmail
    1.项目介绍项目网站:Roundcube–FreeandOpenSourceWebmailSoftwareRoundcube项目是一个免费的开源网络邮件解决方案,具有类似桌面的用户界面(Webmail),易于安装/配置,并且可以在标准的LAMPP服务器上运行。皮肤使用最新的网络标准来呈现一个功能强大且可定制的用户界面。Ro......
  • MySQL 学习笔记 基础(DQL,DCL,函数)
    SQL-DQL SQL-DQL-介绍DQL英文全称是DataQueryLanguage(数据查询语言),用来查询数据库中表的记录。查询关键字:SELECT SQL-DQL-语法SELECT字段列表FROM表名列表WHERE条件列表GROUPBY分组字段列表HAVING分组后条件列表ORDERBY排序字段......
  • (笔记)深入解读EtherCAT时钟DC同步的三种模式
     一、DC同步原理     用EtherCAT的分布式时钟(DC)功能使从站设备同步指的是,总线中的第一个DC从站被定义为基准时钟,EtherCAT主站将基准时钟的时间分配至所有的从站。因此,EtherCAT主站周期性发送一个ARMW命令,以此读取存储在时钟主站的ESC(EtherCAT从站控制器)上适当的寄存......
  • AP9235B dc-dc升压恒流电源驱动IC 2.8-30V 输出电流2A SOT23-6 白光LED驱动方案
    概述 AP9235B系列是一款固定振荡频率、恒流输出的升压型DC/DC转换器,非常适合于移动电话、PDA、数码相机等电子产品的背光驱动。输出电压可达30V,3.2V输入电压可以驱动六个串联LED,2.5V输入电压可以驱动两路并联LED(每路串联三个LED)。通过改变CE脚上PWM信号的占空比可以控制LED的......
  • 《太阁立志传5》d3dcompiler_47.dll丢失最有效的5种解决方法
    遇到《太阁立志传5》(TaikouRisshidenV)游戏运行时报错“d3dcompiler_47.dll文件丢失”的问题,意味着游戏所依赖的DirectX组件缺失或损坏。以下是解决这一问题的五种最有效方法:d3dcompiler_47.dll丢失后果游戏和图形应用:许多现代游戏和图形密集型应用程序依赖于Direct3D,缺少......
  • (82)DC命令--->(01)DC综合命令
    1目录(a)IC简介(b)数字IC设计流程(c)Verilog简介(d)DC综合命令(e)结束1IC简介(a)在IC设计中,设计师使用电路设计工具(如EDA软件)来设计和模拟各种电路,例如逻辑电路、模拟电路、数字信号处理电路等。然后,根据设计电路的规格要求,进行布局设计和布线,确定各个电路元件的位置和连线方式。......