IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> 靶场DC-2 -> 正文阅读

[PHP知识库]靶场DC-2

配置

老样子,将靶机与攻击机置于同一网段即可

开整

获取目标IP

arp-scan -l

在这里插入图片描述
确认IP为192.168.130.129

端口扫描

sudo nmap -sS -T4 -p- -A 192.168.130.129

在这里插入图片描述

发现80端口,但链接重置到了http://dc-2
7744为openssh服务

探索

访问一下http://192.168.130.129,发现无法访问,访问http://dc-2,也不行,所以需要修改hosts文件,添加一行:

192.168.130.129 dc-2

再次访问http://dc-2,能访问到了,发现CMS:wordpress,以及flag:
在这里插入图片描述

flag1:

Your usual wordlists probably won’t work, so instead, maybe you just need to be cewl.
More passwords is always better, but sometimes you just can’t win them all.
Log in as one to see the next flag.
If you can’t find it, log in as another.

意思是需要使用cewl生成密码字典。cewl是kali自带的密码生成工具,直接使用

cewl -w pw.txt http://dc-2/

在这里插入图片描述

现在密码字典有了,但还没有用户字典,这时需要用到另一个工具wpscan了,这个工具可以扫描wordpress,其中有一个选项就是获取用户名

wpscan -e u --url http://dc-2/  

在这里插入图片描述

获得了三个用户admin、tom、jerry,将其保存到文件中,再次使用wpscan进行暴破

wpscan -U u.txt -P pw.txt --url http://dc-2  

在这里插入图片描述
成功获取了两个用户的密码:

tom/parturient
jerry/adipiscing

目录扫描

dirb http://dc-2/  


发现后台wp-admin,使用这两个口令信息成功登录wordpress的后台,找到了flag2:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ebcTeyhc-1627465090658)(./assert/flag2.png)]
大概意思是:如果不能利用wordpress走捷径,可以考虑另一条路。
先走走常规路,看看后台能不能上传webshell,发现这两个账号都没有主题、插件模板修改功能,巧不巧?但在media处发现上传功能,先上传一个txt文档试试,好家伙,直接无法上传,应该是权限问题:
在这里插入图片描述

只能说出题者很牛逼,flag2都提示得很明显了,劝我们另寻他路(果然是劝退咯)。。。
那我走?哈哈哈,那就另寻他路,前边不是扫到了7744 ssh端口么,尝试利用得到得账号登录一下试试呢。嗨呀,tom果然登录成功了,你说巧不巧,我都还没尝试jerry呢(后发现确实jerry无法登录)。
在这里插入图片描述

果然靶场作者诚不欺人,在tom家目录下发现了flag3.txt,但是无法使用cat查看内容
在这里插入图片描述

发现为rbash,百度了一下,发现其是一个受限的bash,很多命令都无法执行,但vi命令还能用,就是这么巧妙,rbash能耐我何?直接vi flag3.txt,即可编辑查看到flag3.txt的内容
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YouRspCc-1627465090665)(./assert/hint3.png)]

意思是得切换至jerry,那来吧,切换一下吧su jerry,失败咯,哈哈,rbash原来在这等着我呢,不能直接切换了,刚好百度的时候看到了rbash的逃逸大全,总结到位,顺势学习一波。学以致用,既然vi可以使用,那就用vi来逃逸吧

# vi进入末行模式,即:
:set shell=/bin/bash  
:shell  
  
export PATH=/usr/sbin:/usr/bin:/sbin:/bin

成功逃逸,cat都能使用了
在这里插入图片描述

然后在jerry的家目录下找到了flag4.txt
在这里插入图片描述
好了,没有更多信息了,按照套路,最终的flag必然在root的家目录下,故又需要提权,先看看哪些命令不需要密码,直接sudo就可执行的

sudo -l

在这里插入图片描述
很nice,发现git命令可以不需要密码,就能以管理员身份运行,通过git提权

sudo git -p help或sudo git help config/status  
# 然后在可以输入的位置输入:
!/bin/bash

成了,撒花,完结
在这里插入图片描述

总结

  • cewl、wpscan、dirb的使用
  • rbash逃逸
  • Linux提权之sudo --git
  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2021-07-29 11:25:04  更:2021-07-29 11:25:06 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/23 11:00:41-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码