【VulnHub靶机渗透】六：DC-2

Myth丶恋晨 2023-05-22 04:35 3阅读 0赞

**VulnHub是一个安全平台，内含众多渗透测试的靶场镜像，只需要下载至本地并在虚拟机上运行，即可得到一个完整的渗透测试练习系统，每一个靶机都有相关目标去完成（万分感谢提供靶机镜像的同学）。**

**文章较臃长，记录了不断测试并发现利用的过程。**

--------------------

### 文章目录 ###

*   *  一、相关简介
     *  二、信息搜集
     *   *  1、搜集
         *  2、总结
     *  三、渗透步骤
     *   *  1、flag1
         *  2、flag2（Web后台弱口令）
         *  3、flag3（7744端口ssh连接）
         *  4、flag4（bash限制逃脱）
         *  5、flah5（sudo git -p 提权）
     *  四、知识总结

## 一、相关简介 ##

**靶机：**

**该靶机设定线索引导用户得到相关信息，存在弱口令和sudo权限配置不当等安全问题。**

*  名称：DC-2
 *  系统：Linux Debian
 *  难度：初学者
 *  目标：读取5个flag，拿到root权限

**环境：**

*  靶机：DC-2——192,168.11.25
 *  攻击机：Kali——192.168.11.28
 *  工具：Nmap、dirb、BurpSuit、whatweb、cewl等

## 二、信息搜集 ##

### 1、搜集 ###

arp-scan主机发现  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70]  
nmap端口服务扫描，只开放80端口  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 1]  
dirb Web目录爆破，主要目录如下  
![在这里插入图片描述][20200422224255801.png]  
Web指纹识别  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 2]  
网站使用的CMS是WordPress，也可以使用插件直接在浏览器查看Web站点信息，如下：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 3]

### 2、总结 ###

经过信息搜集，大只得到以下内容：

**主机：**

*  IP：192.168.11.25
 *  OS：Debian
 *  Kernel：Linux 3 / Linux 4
 *  80端口：http，Apache-2.4.10

**Web：**

*  CMS：WordPress 4.7.10
 *  DBS：MySQL
 *  http://192.168.11.27/index.php **（主页）**
 *  http://192.168.11.27/css/**（403）**
 *  http://192.168.11.27/images/**（403）**

## 三、渗透步骤 ##

访问We你站点，但是找到服务器，去vulnhub网站查看说明，提示需要手动添加解析内容  
![在这里插入图片描述][20200415223638330.png]  
根据提示，需要修改hosts文件，添加以下数据：

192.168.11.25 dc-2

Linux的hosts文件位置：`/etc/hosts`，Windows：`C:\Windows\System32\drivers\etc\hosts`  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 4]

### 1、flag1 ###

再次访问成功，是一个Wordpress站点  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 5]  
页面给出了flag1，提示需要用到cewl工具，这是一个爬取页面并生成密码字典的工具  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 6]

### 2、flag2（Web后台弱口令） ###

使用cewl爬取dc-2页面，得到一个密码字典，也可以添加一些参数如下：

*  \-w：结果输出到文件
 *  \-d：爬取深度
 *  `--with-numbers`：加入数字
 *  \-m：最短长度

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 7]  
得到了密码字典，就需要猜用户名了，已知WordPress后台地址为`/wp-admin`，如果用户名不存在会提示`Invalid username`。

使用BurpSuite来爆破用户名，将用户名添加为一个变量，加入标志`Invalid username`，没有该标志即为存在用户名，爆破得出了4个：`admin`、`ADMIN`、`jerry`、`tom`  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 8]  
查看数据包，提示的是密码错误，说明想法是对的  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 9]  
OK，有了用户名，有了爬取生成的密码字典，可以使用BurpSuite爆破WordPress后台了，同样添加flag，登录失败页面会有 `incorrect` 的提示，将其设定为flag，开始爆破  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 10]  
成功得到两组账户（此处302是因为登录成功会跳转页面）：

*  jerry：adipiscing
 *  tom：parturient

使用 jerry 账户成功进入后台，发现了 falg 和 flag2，flag 就是之前主页的信息  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 11]  
flag提示：如果你不能利用WordPress并走捷径，还有另一种方法。希望你找到了另一个入口。  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 12]

### 3、flag3（7744端口ssh连接） ###

就在从Web上找不到渗透点一筹莫展的时候，才发现网上师傅们扫描全端口还有一个7744端口开放着，还是ssh服务，真鸡贼 **（学到了，以后要全端口扫描，或许有惊喜！）**  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 13]  
使用 tom 账户登录ssh服务，发现了flag3，但是cat无法使用，vi可以  
![在这里插入图片描述][20200421231525931.png]  
使用 vi 查看flag3内容，意思是切换到用户 jerry  
![在这里插入图片描述][2020042123143870.png]

### 4、flag4（bash限制逃脱） ###

su 切换至 jerry用户，发现依然有 rbash 限制（受限制的bash），索性使用jerry重新连接ssh，但是不允许用户口令方式连接  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 14]  
查询得知，只能解除 rbash 限制后，使用 su 命令切换用户了。

在解除bash限制处查了许多文章，花费了太多时间，但是都没有成功，有几篇**逃脱总结**：

*  [https://www.freebuf.com/articles/system/188989.html][https_www.freebuf.com_articles_system_188989.html]
 *  [https://www.dazhuanlan.com/2019/10/23/5dafb753843d1/][https_www.dazhuanlan.com_2019_10_23_5dafb753843d1]

文章指出vi、vim、less也可以用来逃脱，但是我没有尝试成功，最终通过以下两篇的提示，才得以逃脱bash限制

*  [https://blog.csdn.net/qq\_38677814/article/details/80003851][https_blog.csdn.net_qq_38677814_article_details_80003851]
 *  [https://www.cnblogs.com/xiaoxiaoleo/p/8450379.html][https_www.cnblogs.com_xiaoxiaoleo_p_8450379.html]

流程如下：

*  BASH\_CMDS\[a\]=/bin/sh;a
 *  export PATH=$PATH:/bin/
 *  export PATH=$PATH:/usr/bin

通过上述方法逃脱bash限制后切换用户jerry  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 15]  
根目录下得到flag4，提示了一个 `git` ？  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 16]

### 5、flah5（sudo git -p 提权） ###

最后一个flag是需要提权的，有了DC-4的经验，自然想到先查看用户权限  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 17]  
发现了当前用户可以无密码来 sudo 使用 git 命令，很奈斯。查看git帮助文档：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 18]  
没有太多有用信息，但是当前文档比较长，一页显示不全，可以利用 sudo 以及 git 的 -p 参数分页查看帮助文档，然后`!/bin/bash` 调用 `bash`文件，就会以root用户创建一个shell  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 19]  
（亲测 less 命令也可以使用该方法，加入 -p参数）

此时创建的shell环境就是root权限的  
![在这里插入图片描述][20200422164158478.png]  
得到最后一个flag  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 20]  
结束。

## 四、知识总结 ##

**整体步骤：**

*  Web页面发现flag1，提示使用cewl密码生成工具
 *  利用生成的密码爆破出WordPress后台，发现flag2
 *  发现开放7744端口ssh服务，利用账户连接ssh得到flag3
 *  绕过bash限制（rbash）得到flag4，提示需要利用git
 *  查看用户权限，利用sudo git -p提权，得到flag5

**知识点：**

*  在进行主机信息扫描时最好进行全端口扫描（-p-），可能会有意外收获，因为**nmap默认只扫描前1024以及月2000个其他常用端口**，很有可能会漏掉不常用的端口。
 *  bash限制（rbash）是指对用户在终端中使用的命令加以限制，来创建一个更加安全的环境。
    
    但是bash限制是可以逃脱的，以下是一些逃脱手段。  
    \-[https://www.freebuf.com/articles/system/188989.html][https_www.freebuf.com_articles_system_188989.html]  
    \-[https://www.dazhuanlan.com/2019/10/23/5dafb753843d1/][https_www.dazhuanlan.com_2019_10_23_5dafb753843d1]  
    \-[https://blog.csdn.net/qq\_38677814/article/details/80003851][https_blog.csdn.net_qq_38677814_article_details_80003851]  
    \-[https://www.cnblogs.com/xiaoxiaoleo/p/8450379.html][https_www.cnblogs.com_xiaoxiaoleo_p_8450379.html]
 *  一些命令如more、vi、vim、less、git -p等，都会在终端有一个输入点，可以输入例如`!/bin/bash`来强制在内部重新开启一个shell环境。
    
    本次提权就利用的`git -p`命令的内部创建shell。

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70]: /images/20230521/5564e31827bd49c38211228054c81589.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 1]: /images/20230521/c085a47b21184caf8555262a5532f7e6.png
[20200422224255801.png]: /images/20230521/00bc59f4e66940f4b82ec361c4636040.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 2]: /images/20230521/24002365ec374fc694b263a23aec6ace.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 3]: /images/20230521/5e8372b9abdf451f9075ed89c86e409e.png
[20200415223638330.png]: /images/20230521/ca5f60745ce346a5b710fa3a05558bfa.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 4]: /images/20230521/c9e9ea4c8c174c738b4c616f046cc4c0.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 5]: /images/20230521/26ed92fbdc434e0e911430969bf79d6e.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 6]: /images/20230521/5d30a31860c644468749f97115a08790.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 7]: /images/20230521/80eedd68ee8047139779e5a130fd89d9.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 8]: /images/20230521/1839994b3e6f44ca9725ca1961fd4c79.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 9]: /images/20230521/5d99539d06764b5a88cd3ea46b946bfd.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 10]: /images/20230521/78da9390a5224937bda55cc802774a3f.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 11]: /images/20230521/d231e445af7649808e018de9987583d4.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 12]: /images/20230521/a70dc42ceaca44cfb16b259c70c5bbea.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 13]: /images/20230521/fb38060f1c704a4382e7ebb11397b91a.png
[20200421231525931.png]: /images/20230521/5bd0848038c24d2c87433d1b9c452cd8.png
[2020042123143870.png]: /images/20230521/dd17cd48dd9e4bf68bbe22c865c08f08.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 14]: /images/20230521/765b0096532a4af7bdca51837f7d43b1.png
[https_www.freebuf.com_articles_system_188989.html]: https://www.freebuf.com/articles/system/188989.html
[https_www.dazhuanlan.com_2019_10_23_5dafb753843d1]: https://www.dazhuanlan.com/2019/10/23/5dafb753843d1/
[https_blog.csdn.net_qq_38677814_article_details_80003851]: https://blog.csdn.net/qq_38677814/article/details/80003851
[https_www.cnblogs.com_xiaoxiaoleo_p_8450379.html]: https://www.cnblogs.com/xiaoxiaoleo/p/8450379.html
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 15]: /images/20230521/7422b5f367b8440390b76e9a6c7320ec.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 16]: /images/20230521/43568321b9374034a6b4f038e59deadd.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 17]: /images/20230521/30761500147b4c5180f27b5679affdbd.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 18]: /images/20230521/035b514e1db4482ea218aab29a3a704f.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 19]: /images/20230521/6251213354e54337b5855fc307411a4f.png
[20200422164158478.png]: /images/20230521/18212a5113be4a27870f1e6688835ac1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzOTY4MDgw_size_16_color_FFFFFF_t_70 20]: /images/20230521/cc404a2954d841d7aa0f3296acc57540.png