[vulnhub]DC2

文章目录

    • [vulnhub]DC2
      • 信息收集
      • flag1
      • flag2
        • cewl
        • wpscan
      • flag3
        • 什么是rbash?
      • flag4
      • flag5
        • git提权
      • 总结

[vulnhub]DC2

信息收集

扫ip,有两种方式:arpnmap

nmap -sP 192.168.56.0/24 -T4

arp-scan -l

image-20230726165819619

192.168.56.137

扫端口:

nmap -sS -A -T4 192.168.56.137 -p 1-65535

image-20230726170107593

flag1

我们使用浏览器登录80端口,发现登录不上,地址栏变为:http://dc-2

原因是dns解析不正确,我们需要在hosts文件中添加:

image-20230726170222209

访问可以获得flag1

image-20230726170404356

提示我们需要使用工具cewl获得字典,登录来获得flag2

flag2

cewl

首先需要了解一下什么是cewl

cewl是一个用于生成自定义字典(custom wordlist)的工具。它的全称是“Custom Word List generator”,意为自定义字典生成器。cewl工具的主要目的是通过分析指定的目标网页或文本文件,从中提取关键词和短语,然后将这些词汇组合成一个自定义的字典文件。

我们大概了解cewl可以分析网页的关键词来生成自定义字典文件,此处我们只需了解-w参数即可:

语法格式:cewl <url> [options]
<url>是指定爬取的站点,options是参数选项

-w,--write	将输出的结果写入到文件

于是我们生成自定义密码词典:

cewl http://dc-2 -w pass.txt    # 这里需要输入域名才有效

image-20230726171043652

我们再观察一下官网:

image-20230726171716087

这个网站是由WordPress 4.7.10 搭建的,肯定有很多wordpress漏洞

我们可以使用工具:wpscan

wpscan

WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括WordPress本身的漏洞、插件漏洞和主题漏洞

flag1提示我们需要登录,我们有了密码词典,但是没有用户名怎么登录,所以我们需要获得用户名,而wpscan工具就可以做到

wpscan --ignore-main-redirect --url 192.168.56.137 --enumerate u --force

--ignore-main-redirect	忽略主要的重定向
--url				   指定url
--enumerate u		    枚举用户名
--force: 			    这个选项强制wpscan执行即使目标可能不是WordPress网站的情况下也要继续扫描。如果没有使用--force选项,wpscan在检测到目标不是WordPress网站时将会中止扫描。

这里扫描出了3个用户名:

image-20230726172631558

知道了用户名和密码的词典,我们就可以进行爆破了,可以使用hydrawpscanbp等工具

bp

使用最后一个模式,计算笛卡尔积

image-20230726173214796

image-20230726173142701

wpscan

wpscan --url 192.168.56.137 -U user.txt -P dict.txt --ignore-main-redirect --force

image-20230726173520840

然后我们使用jerry登录网站后台:/wp-admin

image-20230726173844086

希望我们使用另一个点切入

flag3

我们想起之前7744端口开放了一个ssh

image-20230726173940392

我们使用tom登录上ssh:

image-20230726174104116

想查看flag3,却发现没有命令。注意到使用rbash

什么是rbash?

rbash(restricted bash),即受限制的 bash

经过查询发现可以使用rbash逃逸

  • https://blog.csdn.net/qq_43168364/article/details/111830233
  • https://xz.aliyun.com/t/7642#toc-1
  • https://fireshellsecurity.team/restricted-linux-shell-escaping-techniques/

在这个靶机中我们可以使用这种方法:

image-20230726175627455

vi的末行模式输入:

  • :set shell=/bin/sh
  • :shell

image-20230726175505768

结果还是不行,因为没有添加环境变量:

export PATH=$PATH:/bin/
或者
export PATH=/usr/sbin:/usr/bin:/sbin:/bin

image-20230726175617912

Poor old Tom is always running after Jerry. Perhaps he should su for all the stress he causes.

flag4

上面提示了su,所以我们可以使用su切换到jerry,然后查看/home/jerry/flag4.txt

Good to see that you've made it this far - but you're not home yet. 

You still need to get the final flag (the only flag that really counts!!!).  

No hints here - you're on your own now.  :-)

Go on - git outta here!!!!

提示我们需要使用git命令

flag5

这里需要了解一个知识点:git提权

git提权

git提权的前提是不需要使用密码就可以使用git命令

我们可以使用sudo -l命令查看哪些可以具有root权限的命令:

image-20230726185956557

我们可以看到git命令刚好满足,使用不需要密码,于是我们进行git提权:

我们可以使用如下命令:

sudo git help config #在末行命令模式输入 
!/bin/bash 或 !'sh' #完成提权 

image-20230726190443154

提权成功后为root权限:

image-20230726190622880

查找最后一个flag:

find / -name "*flag*"

image-20230726191143168

总结

通过DC2靶机了解到了很多东西,例如cewl工具可以根据网页的关键字生成自定义字典,例如想要寻找WordPress的漏洞可以使用wpscan工具来扫描,想要破解密码可以使用hydra工具等等,以及受限制的bash:rbash,需要rbash提权到bash来,还了解了一个git提权,当sudo -l列出的可特权执行的命令中git不需要密码,就可以git提权

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/45968.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Mendix 创客访谈录|综合业务展示大屏应用开发

本期创客 刘书智 西门子工业领域专家 我在西门子工厂自动化工程有限公司工作。一直从事SCADA产品的技术支持工作&#xff0c;已经过去17个年头了。赶上数字化发展的浪潮&#xff0c;不断学习各种IT技术&#xff0c;践行 IT与OT融合&#xff0c;希望借助自己的IT知识助力OT的发…

力扣1114.按序打印-----题目解析

题目描述 解析&#xff1a; class Foo {public int a 0;public Foo() {}public void first(Runnable printFirst) throws InterruptedException {// printFirst.run() outputs "first". Do not change or remove this line.printFirst.run();a;}public void second…

vue全局状态管理工具 Pinia 的使用

先了解一下关于Pinia的一些故事&#xff0c;面试把这些讲给面试官挺加分的&#xff0c;同时这是我持续学习下去的动力 1.为什么叫Pinia&#xff1f; 官网解释是西班牙语中的 pineapple&#xff0c;即“菠萝”&#xff0c;菠萝花是一组各自独立的花朵&#xff0c;它们结合在一起…

【C语言】函数----详解

&#x1f341; 博客主页:江池俊的博客 &#x1f4ab;收录专栏&#xff1a;C语言——探索高效编程的基石 &#x1f4bb; 其他专栏&#xff1a;数据结构探索 &#x1f3e9;代码仓库&#xff1a;江池俊的代码仓库 &#x1f3aa; 社区&#xff1a;C/C之家社区(欢迎大家加入与我一起…

安装VMware

D:\VMware\VMware Workstation\ 输入许可证

Sentinel 规则持久化到 Nacos

一、Sentinel规则管理模式&#x1f349; Sentinel的控制台规则管理有三种模式&#xff1a; 原始模式&#x1f95d; 原始模式&#xff1a;控制台配置的规则直接推送到Sentinel客户端&#xff0c;也就是我们的应用。然后保存在内存中&#xff0c;服务重启则丢失 pull模式&#…

一文详解Spring Bean循环依赖

一、背景 有好几次线上发布老应用时&#xff0c;遭遇代码启动报错&#xff0c;具体错误如下&#xff1a; Caused by: org.springframework.beans.factory.BeanCurrentlyInCreationException: Error creating bean with name xxxManageFacadeImpl: Bean with name xxxManageFa…

实验数据origin作图使用经验总结

使用Origin绘制实验数据图表时&#xff0c;可以遵循以下经验总结&#xff1a; 选择合适的图表类型&#xff1a; 根据实验数据的性质和目的&#xff0c;选择合适的图表类型&#xff0c;例如散点图、折线图、柱状图、饼图等。确保图表类型能够清晰地展示数据趋势和关系。 规范坐…

常用API学习08(Java)

格式化 格式化指的是将数据按照指定的规则转化为指定的形式 。 那么为什么需要格式化&#xff1f;格式化有什么用&#xff1f; 以数字类为例&#xff0c;假设有一个比分牌&#xff0c;在无人得分的时候我们希望以&#xff1a;“00&#xff1a;00”的形式存在&#xff0c;那么…

3.安装kubesphere

1.本地存储动态 PVC # 在所有节点安装 iSCSI 协议客户端&#xff08;OpenEBS 需要该协议提供存储支持&#xff09; yum install iscsi-initiator-utils -y # 设置开机启动 systemctl enable --now iscsid # 启动服务 systemctl start iscsid # 查看服务状态 systemctl status …

【C++修炼之路】继承

&#x1f451;作者主页&#xff1a;安 度 因 &#x1f3e0;学习社区&#xff1a;StackFrame &#x1f4d6;专栏链接&#xff1a;C修炼之路 文章目录 一、概念及定义二、基类和派生类对象赋值转换三、继承中的作用域四、派生类的默认成员函数五、继承与友元六、继承与静态成员七…

C语言实现基于Linux,epoll和多线程的WebServer服务器

代码结构&#xff1a; Server.h 头文件&#xff0c;对函数进行了声明 #pragma once #include<stdio.h> // 新建一个用于TCP监听的socket文件描述符&#xff0c;并返回 int initListenFd(unsigned short port);// 启动epoll int epollRun(int lfd);// accept建立连接 vo…

NLP(六十一)使用Baichuan-13B-Chat模型构建智能文档问答助手

在文章NLP&#xff08;六十&#xff09;Baichuan-13B-Chat模型使用体验中&#xff0c;我们介绍了Baichuan-13B-Chat模型及其在向量嵌入和文档阅读上的初步尝试。   本文将详细介绍如何使用Baichuan-13B-Chat模型来构建智能文档问答助手。 文档问答流程 智能文档问答助手的流…

Kafka集群——(区别于Master/Slave架构的的分布式集群)

Kafka角色介绍&#xff1a; 1. Producer:消息生产者&#xff1a; 2. Broker: kafka实例&#xff0c;可以理解为一台kafka服务器&#xff0c;kafka cluster 是由多个broker构成的集群。 3. Topic: 消息主题&#xff0c;理解为消息队列&#xff0c;kafka数据就保存在topic里。…

Docker——compose单机容器集群编排

Docker——compose单机容器集群编排 一、Docker-compose概述1.为何需要Docker-compose2.Docker-compose 的特征3.Docker-compose 的优势4.Docker-compose 的劣势5.Docker-compose 的生产环境 二、Docker Compose 环境安装三、YAML 文件格式及编写注意事项四、Docker Compose配置…

常用的数据结构 JAVA

目录 1、线性表2、栈&#xff1a;3、队列&#xff1a; 1、线性表 List<Object> narnat new ArrayList<>();ArrayList&#xff1a;动态数组 1、可以嵌套使用 2、add(x)添加元素x&#xff0c;remove(index)删除某个位置的元素 3、注意list是指向性的&#xff0c…

STM32MP157驱动开发——按键驱动(中断)

文章目录 编写使用中断的按键驱动程序编程思路设备树相关驱动代码相关 代码修改设备树文件gpio_key_drv.cMakefile编译测试 编写使用中断的按键驱动程序 对于使用中断的按键驱动&#xff0c;内核自带的驱动程序 drivers/input/keyboard/gpio_keys.c 就可以&#xff0c;需要做的…

【vue3】常见的使用vue3创建项目的几种方法

1、使用ui界面创建&#xff0c;winr打开命令提示符&#xff0c;输入vue ui 2、winr打开命令提示符&#xff0c;输入vue create 项目名称 3、使用脚手架创建 其中方法一&#xff0c;方法二是使用npm run serve来运行的&#xff0c;方法三是使用npm run dev运行的

Unity进阶--对象池数据场景管理器笔记

文章目录 泛型单例类泛型单例类&#xff08;不带组件版&#xff09;对象池管理器数据管理器场景管理器 泛型单例类 using System.Collections; using System.Collections.Generic;public abstract class ManagersSingle<T> where T : new() {private static T instance;…

线性代数(主题篇):第三章:向量组 、第四章:方程组

文章目录 第3章 n维向量1.概念(1)n维单位列向量 2.向量、向量组的的线性关系(线性相关性)(1)线性表示 &#xff1a;AXβ(2)线性相关、线性无关&#xff1a; AX0①线性相关②线性无关③线性相关性7大定理 3.极大线性无关组、等价向量组、向量组的秩1.极大线性无关组2.等价向量组…