信息收集
主機發(fā)現(xiàn)請使用arp-scan進行掃描漆改。
首先進行訪問發(fā)現(xiàn)重定向至http://dc-2/這個域名法瑟,在hosts中進行一個更改。
更改后訪問頁面绵患,發(fā)現(xiàn)基于WordPress4.7.10
收集相關(guān)信息凳厢,一般先用nmap -sV參數(shù)去看端口開放詳情账胧,根據(jù)結(jié)果進行判斷是否需要對全端口進行掃描。
發(fā)現(xiàn)僅開放一個端口80端口数初,不確定是否有其他端口開放找爱,可以使用masscan 進行全端口的掃描梗顺。耗費時間較長泡孩,可以僅對前10000端口掃描。
再利用nmap -A 參數(shù)對開放端口信息進行獲取寺谤。
可以發(fā)現(xiàn)開放了7744端口作為ssh端口仑鸥。
獲取webshell
首先查看頁面,找到flag1变屁。
需要利用cewl這個工具去生成字典眼俊,對于WordPress的滲透思路可以查看相關(guān)技術(shù)博客
[WordPress滲透思路?] https://blog.csdn.net/luce1234567890/article/details/79206580
利用kali自帶工具wpscan去進行滲透,查看wpscan可以直接掃描用戶名粟关。
獲取到admin疮胖,jerry與tom寫入u.txt,再通過cewl生成密碼字典寫入p.txt
將用戶寫入p.txt,找到dc-2的admin登錄后臺為默認澎灸,wp-admin院塞,利用
wpscan --url 192.168.1.20 -P p.txt -U u.txt
進行爆破,獲取到j(luò)erry與tom的密碼。
嘗試進行登錄性昭,jerry登錄成功 發(fā)現(xiàn)flag2的提示信息拦止。
提示應(yīng)該是說如果你沒辦法獲取webshell那么去使用之前發(fā)現(xiàn)的ssh入口進行登錄,但是不著急可以先獲取一下webshell試試糜颠,找一下上傳點汹族。
通過media上傳馬的方式失敗,php其兴,zip顶瞒,img的方法全部他限制,也可能是權(quán)限的問題忌警。這個問題在之后會繼續(xù)探究一下搁拙,具體學(xué)習(xí)下wordpress的上傳方法。
現(xiàn)在利用ssh端口進行登錄嘗試法绵。
發(fā)現(xiàn)jerry的用戶無法登錄但是tom用戶可以登錄ssh箕速,到這里獲取普通用戶的部分結(jié)束。
提升用戶權(quán)限
whoami等命令無法使用朋譬,當(dāng)前的rbash是被限制的盐茎,vi查看tom目錄下的flag3文件,獲取到信息徙赢,發(fā)現(xiàn)應(yīng)該是要用tom用戶切換到j(luò)erry用戶字柠。先查看自己能使用什么命令,利用
compgen -c
查看自己能用的命令狡赐。
具體思路可以參考以下文章:
[freebuf] https://www.freebuf.com/articles/system/188989.html Linux Restricted Shell繞過技巧總結(jié)
[RBash繞過?] http://m.vlambda.com/wz_wN2p3nVZd8.html RBash - 受限的Bash繞過
查看相關(guān)命令嘗試利用export進行繞過
查找各種資料發(fā)現(xiàn)兩種繞過方法窑业,第一種利用
BASH_CMDS[a]=/bin/sh;a
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin</pre>
第二種利用vi進行繞過
用vi的:set shell=/bin/bash
:set shell=/bin/bash`
:shell`
之后 export -p 查看發(fā)現(xiàn)PATH變量可以寫入
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin</pre>
之后去jerry目錄下查看文件flag4,可以直接獲取到flag4的內(nèi)容枕屉。
也可以提升權(quán)限到j(luò)erry
賬號密碼在之前獲得了常柄。
利用git提權(quán),具體方法可以參考下面的文章搀擂,有多種提權(quán)方法西潘。
[github?] https://gtfobins.github.io/ GTFOBins
