总结:cewl和wpscan的使用,rbash逃逸,suid提权

cewl ——> 密码生成工具

wpscan —-> 爆破用户名

WPScan使用完整攻略:如何对Wordpress站点进行安全测试

image-20230409204637751

还是现扫下c段看下靶机ip

image-20230409203330539

猜一下是131,或者用和DC1说的那种关靶机的方法也行

image-20230409203510524

靶机开了两个端口

image-20230409203649238

发现重定向到一个域名,这里和htb里的一道题一样,得修改hosts

就是dns域名解析有关

image-20230409203850335

修改好后再次进行访问

image-20230409203912792

成功进行访问

image-20230409203935440

这次是使用了wordpress框架

image-20230409204105356

找到了flag1

并且给了提示

1
2
3
4
5
6
7
您通常的单词列表可能不起作用,所以相反,也许您只需要 cewl。

更多密码总是更好,但有时您无法赢得所有密码。

以一个人身份登录以查看下一个标志。

如果找不到,请以另一个身份登录。

这里就提示了使用cewl(一个字典生成工具)

cewl的详细使用教学

通过他的提示,也该不止有一个用户

所以我们就得使用工具爆破出这个网站的所有用户

那么既然我们有了密码 我们还需要知道用户名使用wpscan 这个工具 针对wordpress框架使用的

使用命令:wpscan --url http://dc-2/ -e

image-20230409205001726

扫到了三个用户

1
2
3
4
cewl http://dc-2 -w pass.txt 然后就去参考别的人的了
wpscan --url http://dc-2/ -e //枚举用户名
echo "admin\njerry\ntom\n" > user.txt //将枚举到的三个用户,添加到user.txt中
wpscan --url http://dc-2 user.txt -P pass.txt //然后爆破账号密码

爆破出来密码了 接下来就是登录后台了

image-20230409210248545

admin没爆破出来

所以我们开始扫网站的目录

image-20230409210736812

用其他扫目录工具也行,扫出来一个后台

image-20230409210819324

重定向到了一个登录框,那么我们就拿之前爆破出来的账号密码进行登录

image-20230409210935313

成功登录后台

image-20230409211115820

找到了flag2

1
2
3
如果您不能利用 WordPress 并走捷径,还有另一种方法。
(就是不能利用exp)
希望你找到了另一个切入点。

也尝试tom账户 发现并没有什么可用的信息,那么我们之前扫出来的开启ssh端口就派上用场了

image-20230409211423049

真的登录成功了

image-20230409211507283

但是出现了一个特殊情况就是命令没有被找到

爆了一个 -rbash的玩意

rbash绕过

那么我们尝试进行编辑查看,看行不行(就是使用vim)

image-20230409211629232

发现可以

1
可怜的老汤姆总是追着杰瑞。也许他应该为他造成的所有压力而苏。

根据这个内容切换成jerry账户一下

所以猜想这里的提示应该是想我们切换到jerry用户,而不是重新ssh登录到jerry用户

然后发现密码不对,所以就还是好好研究一下怎么绕过rbash

tips

1
2
3
4
5
//方法1
vi a //随便一个文件
shift+;  输入set shell=/bin/bash回车
shift+;  输入shell
输入export PATH=$PATH:/bin/
1
2
3
4
//方法2
BASH_CMDS[A]=/bin/sh;A //进入sh环境
/bin/bash  //来到bash环境
export PATH=$PATH:/bin/

image-20230409213553364

成功绕过

然后我们su jerry ,来到jerry用户,cd来到默认目录就可以看到flag4.txt

image-20230409213728621

看到flag4.txt的内容

1
2
3
4
5
6
7
很高兴看到你已经走到这一步 - 但你还没有到家。

您仍然需要获得最终标志(唯一真正重要的标志!!!)。

这里没有提示 - 你现在靠自己了。 :-)

继续 - 离开这里!!!!

猜测就是提权了

因为这里并不是root用户

还是用find命令尝试一下(suid)

1

image-20230409214009428

有个sudo可以用 那么就猜测这里是用sudo提权

那么就、sudo -l一下,看谁有root权限

image-20230409214118195

发现是git,还没有密码限制

image-20230409214149805

1
2
3
4
5
sudo git help config

然后直接输入!/bin/bash

然后我们就是root了,在然后就是获得flag了

image-20230409214323234

然后就是root用户了

接下来直接读取flag就行了

image-20230409214511930wpscan这个工具感觉是为了wordpress而准备的