【Vulnhub靶机】DC-2(sudo git提权 )_dc-2靶场提权-程序员宅基地

文章目录

DC-2介绍
 DC-2环境下载

在这里插入图片描述

请注意，您需要将渗透测试设备上的 hosts 文件设置为：
192.168.0.145 dc-2
显然，将 192.168.0.145 替换为 DC-2 的实际 IP 地址。
它将使生活变得更加简单（如果没有它，某些 CMS 可能无法工作）。

信息收集

靶机MAC地址：00:0C:29:40:DF:ED
攻击机和靶机的网卡，设置为 NAT 模式

nmap -sS -O 192.168.80.0/24  # 扫描网段，找寻靶机的 IP

在这里插入图片描述

修改hosts配置文件

在这里插入图片描述

对靶机进行全面扫描,发现靶机开了80端口

nmap -A -T4 -p- 192.168.80.135

在这里插入图片描述

由于在kali的hosts文件里配置了映射关系，所以只能在kali里访问到，

在windows真实机器里访问不到。

# hosts文件路径
Windows：C:\Windows\System32\drivers\etc\hosts
Linux：/etc/hosts

靶机的 http 站点的 CMS 为 WordPress ，使用 http://192.168.80.135 尝试进行访问。

在这里插入图片描述

成功访问到靶机的 http 站点，根据首页内容，再次确认这是一个 WordPress 站点。

漏洞发现

1、尝试点击首页的 Flag 选项，成功找到了第一个 flag。

在这里插入图片描述

2、根据 flag1 的内容，使用 cewl http://dc-2/ -w password.txt 制作密码字典。

在这里插入图片描述

3、因为 flag1 中提到需要登录，但是网页中找不到相关的登录界面入口，所以使用 dirsearch -u http://dc-2/ 爆破网站目录，寻找登录界面。

在这里插入图片描述

4、使用 http://dc-2/wp-login.php 进行访问。

在这里插入图片描述

5、访问成功后，由于目前只有密码字典，所以还需要使用 wpscan --url http://dc-2/ -e u 枚举 WordPress 站点中注册过的用户名，来制作用户名字典。

在这里插入图片描述

6、成功枚举出三个用户名，将这三个用户名写入到一个文件中，作为用户名字典。

在这里插入图片描述

7、使用 wpscan --url http://dc-2/ -U user.txt -P password.txt 调用相关的字典文件对网站进行爆破。

在这里插入图片描述

8、成功爆破出两个用户，尝试使用 jerry的账号密码进行登录。

[

9、登录成功后，把每个选项都点击一遍试试效果，在 Pages -> All Pages 下发现了 flag2。

在这里插入图片描述

10、也可以使用nikto来进行扫描

在这里插入图片描述

漏洞利用

getshell

1、在信息收集阶段中发现还开启了 ssh 服务，并且当前我们知道两对用户名和密码，所以分别使用 ssh jerry/[email protected] -p 7744 尝试登录。

在这里插入图片描述

2、使用tom用户成功登录

在这里插入图片描述

3、使用whoami查看权限，发现当前为 rbash，被限制的 Shell，所以可以考虑进行rbash 绕过。

在这里插入图片描述

4、使用 ls -al 浏览一下当前目录，发现了 flag3.txt

在这里插入图片描述

5、使用 cat flag3.txt 进行查看，发现无法使用该命令，所以尝试使用 vim 或 vi 进行查看。使用vi查看成功

在这里插入图片描述

6、观察 flag3 中的内容，发现文本中包含 Jerry 和 su ，所以猜测需要使用 su jerry 登录到 jerry 用户下，尝试后发现 su 命令无法使用，所以下一步尝试进行 rbash 绕过。

在这里插入图片描述

7、使用 export -p 发现可以使用 export 命令，所以使用以下命令进行 rbash 绕过：

BASH_CMDS[a]=/bin/sh;a       #注：把 /bin/sh 给a变量并调用
export PATH=$PATH:/bin/      #注：将 /bin 作为PATH环境变量导出
export PATH=$PATH:/usr/bin   #注：将 /usr/bin 作为PATH环境变量导出

在这里插入图片描述

8、绕过成功，使用 su jerry 和之前爆破出的密码尝试进行登录

在这里插入图片描述

9、登录成功，使用 cd /home/jerry/ 访问家目录，发现了 flag4.txt 。

在这里插入图片描述

10、根据 flag4 的内容，可以推断下一步需要进行提权，来获取 root 权限，访问 /root 目录。

11、寻找root用户拥有的文件，并将错误写入/dev/nul

在这里插入图片描述

11、看到拥有root权限，所以使用 sudo -l 查看当前用户可以以 root 身份执行哪些命令

在这里插入图片描述

12、发现可以以 root 身份执行 git 命令，所以下一步使用 git 进行提权，使用 sudo git help config 使 git 被动调用 more 进行显示。

查看提权命令网站：https://gtfobins.github.io

Git相关：https://gtfobins.github.io/gtfobins/git/

在这里插入图片描述

13、输入 !/bin/bash 即可提权成功。变成root用户

在这里插入图片描述

14、使用 cd /root/ 访问 /root 目录，找到了 final-flag.txt 。

在这里插入图片描述

总结

修改 hosts 文件来访问网站
使用 nmap 找寻并扫描靶机。
使用 cewl 制作密码字典。
使用 dirsearch 爆破网站目录。
使用 wpscan 对 WordPress 站点进行扫描和爆破。
rbash 绕过
sudo 提权
git 提权

本文链接：https://blog.csdn.net/ZhaoSong_/article/details/132093657

原作者删帖不实内容删帖广告或垃圾文章投诉

智能推荐

【史上最易懂】马尔科夫链-蒙特卡洛方法：基于马尔科夫链的采样方法，从概率分布中随机抽取样本，从而得到分布的近似_马尔科夫链期望怎么求-程序员宅基地

文章浏览阅读1.3k次，点赞40次，收藏19次。虽然你不能直接计算每个房间的人数，但通过马尔科夫链的蒙特卡洛方法，你可以从任意状态（房间）开始采样，并最终收敛到目标分布（人数分布）。然后，根据一个规则（假设转移概率是基于房间的人数，人数较多的房间具有较高的转移概率），你随机选择一个相邻的房间作为下一个状态。比如在巨大城堡，里面有很多房间，找到每个房间里的人数分布情况（每个房间被访问的次数），但是你不能一次进入所有的房间并计数。但是，当你重复这个过程很多次时，你会发现你更有可能停留在人数更多的房间，而在人数较少的房间停留的次数较少。_马尔科夫链期望怎么求

linux以root登陆命令,su命令和sudo命令，以及限制root用户登录-程序员宅基地

文章浏览阅读3.9k次。一、su命令su命令用于切换当前用户身份到其他用户身份，变更时须输入所要变更的用户帐号与密码。命令su的格式为：su [-] username1、后面可以跟 ‘-‘ 也可以不跟，普通用户su不加username时就是切换到root用户，当然root用户同样可以su到普通用户。 ‘-‘ 这个字符的作用是，加上后会初始化当前用户的各种环境变量。下面看下加‘-’和不加‘-’的区别：root用户切换到普通..._限制su root登陆

精通VC与Matlab联合编程（六）_精通vc和matlab联合编程六-程序员宅基地

文章浏览阅读1.2k次。精通VC与Matlab联合编程（六）作者：邓科下载源代码浅析VC与MATLAB联合编程浅析VC与MATLAB联合编程浅析VC与MATLAB联合编程浅析VC与MATLAB联合编程浅析VC与MATLAB联合编程　　Matlab C/C++函数库是Matlab扩展功能重要的组成部分,包含了大量的用C/C++语言重新编写的Matlab函数,主要包括初等数学函数、线形代数函数、矩阵操作函数、数值计算函数_精通vc和matlab联合编程六

Asp.Net MVC2中扩展ModelMetadata的DescriptionAttribute。-程序员宅基地

文章浏览阅读128次。在MVC2中默认并没有实现DescriptionAttribute（虽然可以找到这个属性，通过阅读MVC源码，发现并没有实现方法），这很不方便，特别是我们使用EditorForModel的时候，我们需要对字段进行简要的介绍，下面来扩展这个属性。新建类 DescriptionMetadataProvider然后重写DataAnnotationsModelMetadataPro..._asp.net mvc 模型description

领域模型架构 eShopOnWeb项目分析上-程序员宅基地

文章浏览阅读1.3k次。一.概述　　本篇继续探讨web应用架构，讲基于DDD风格下最初的领域模型架构，不同于DDD风格下CQRS架构，二者架构主要区别是领域层的变化。架构的演变是从领域模型到C..._eshoponweb

Springboot中使用kafka_springboot kafka-程序员宅基地

文章浏览阅读2.6w次，点赞23次，收藏85次。首先说明，本人之前没用过zookeeper、kafka等，尚硅谷十几个小时的教程实在没有耐心看，现在我也不知道分区、副本之类的概念。用kafka只是听说他比RabbitMQ快，我也是昨天晚上刚使用，下文中若有讲错的地方或者我的理解与它的本质有偏差的地方请包涵。此文背景的环境是windows，linux流程也差不多。官网下载kafka，选择Binary downloads Apache Kafka 解压在D盘下或者什么地方，注意不要放在桌面等绝对路径太长的地方打开conf_springboot kafka

随便推点

VS2008+水晶报表发布后可能无法打印的解决办法_水晶报表不能打印-程序员宅基地

文章浏览阅读1k次。编好水晶报表代码,用的是ActiveX模式,在本机运行,第一次运行提示安装ActiveX控件,安装后,一切正常,能正常打印,但发布到网站那边运行,可能是一闪而过,连提示安装ActiveX控件也没有,甚至相关的功能图标都不能正常显示,再点"打印图标"也是没反应解决方法是: 1.先下载"PrintControl.cab" http://support.businessobjects.c_水晶报表不能打印

一. UC/OS-Ⅱ简介_ucos-程序员宅基地

文章浏览阅读1.3k次。绝大部分UC/OS-II的源码是用移植性很强的ANSI C写的。也就是说某产品可以只使用很少几个UC/OS-II调用，而另一个产品则使用了几乎所有UC/OS-II的功能，这样可以减少产品中的UC/OS-II所需的存储器空间（RAM和ROM）。UC/OS-II是为嵌入式应用而设计的，这就意味着，只要用户有固化手段（C编译、连接、下载和固化）， UC/OS-II可以嵌入到用户的产品中成为产品的一部分。1998年uC/OS-II，目前的版本uC/OS -II V2.61，2.72。1.UC/OS-Ⅱ简介。_ucos