Vulnhub靶场之DC-2 WordPress

道锋潜鳞
2020-04-15 / 0 评论 / 113 阅读 / 正在检测是否收录...

环境:

kali:192.168.75.129              DC2 -靶机 和 kali 在同一C段

先是arp-scan -l检索局域网内主机

发现靶机地址,使用nmap进行扫描 nmap -A -p 1-65535 192.168.75.136

发现打开了80端口,SSH端口

那么直接访问80看看有没有什么神奇的东西

还跳转了,上hosts重定向。

win10路径: C:\Windows\System32\drivers\etc

linux路径:/etc/hosts 

访问成功,发现flag1

使用工具 cewl爬取生成密码

cewl http://dc-2/ -w passwd.txt

准备使用wpscan进行搞事情,但我。。

上hydra大杀器吧,修是不可能修的,,,WordPress默认后台地址:/wp-admin 且WordPress当用户名不存在时会提示用户不存在,可增加爆破效率

hydra -L user.txt  -P passwd.txt dc-2 http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'

我们跑出了 jerry和tom账户,登进去看看

tom,没啥东西,jerry用户界面如下,发现了flag2

啊哈

想到上一个DC1的靶机是用SSH干进去的

问题是,WordPress的CMS本身还是比较安全的,问题基本都出在插件上,可这个jerry的账号权限不够,无法安装插件来上传shell

那就硬着头皮ssh试试看,用登录账号密码试试

jerry老贼不是同一个密码,太草(一种植物)蛋了

试试看Tom老贼

不愧是你。。。。

执行命令发现 command not found,百度得知这是因为ssh远程连接到服务器的环境变量中不包含对应可执行文件的路径。需要自行添加

BASH_CMDS[a]=/bin/sh;a 
$ /bin/bash
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin

得到flag3

切换到Jerry,发现flag4.txt

哈?Git还能提权?

试试看吧。看看git有没有那个权限 sudo -l

flag不会骗人(小声bb)

sudo git -p help
!/bin/sh

奇怪,我怎么没法提权,查了查百度,发现

git有一个缓冲区溢出漏洞,在使用sudo git -p --help时,不需要输入root密码即可以root权限执行这条命令。我们尽量减小缓冲区的行数,使其一次性显示不完这条命令的回显结果,这样这条命令就一直处于运行状态,加上此时处于root权限,我们直接在这时候打开bash shell,直接提权至root。

看起来要打开gui了,来自Xshell的鄙,艹(一种植物)

奇怪的知识增加了

0

评论 (0)

取消