DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程 前言由于传播、利用本公众号小羽网安提供的文章、工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号小羽网安及作者不为此承担任何责任，一旦造成后果请自行承担！本文主要讲解了渗透测试中的完整渗透测试流程，主要介绍了【wpscan】、【cewl】、【rbash逃逸】的使用技巧，靶场为vulnhub的机器大家可以自行下载，如果文章哪有不对，还请师傅们留言指出，谢谢您。环境准备靶机下载地址：https://download.vulnhub.com/dc/DC-2.zip攻击机：kali网络：nat模式靶机复现nmap主机发现，192.168.209.166或者使用arp-scan -lnmap -sP 192.168.209.0/24对扫描出的靶机进行全端口扫描nmap -sS -p- 192.168.209.166我访问这个ip的时候，自动跳转到了http://dc-2但是我加上这个ip之后404index.php可以正常访问那么应该就是host文件问题，修改hosts C:WindowsSystem32driversetchosts在行尾添加这一行内容保存之后，再次访问首页，就可以正常访问靶场了Flag1"Your usual wordlists probably won’t work, so instead, maybe you just need to be cewl."大致意思就是你可能需要cewl这款工具看目录扫描结果，这是一个wordpress网站，有一个后台界面wp-adminsql注入万能密码拦截登录响应登录失败还有一些其他的测试方法，比如xss，弱口令都不行，这里我们就要用到cewl这个工具了Cewl是一款采用Ruby开发的应用程序，你可以给它的爬虫指定URL地址和爬取深度，还可以添额外的外部链接，接下来Cewl会给你返回一个字典文件，你可以把字典用到类似John the Ripper这样的密码破解工具中。除此之外，Cewl还提供了命令行工具。我们将扫描结果重定向到passwd.txt（就是保存文件或者使用cewl的自带的-m参数）使用wpscan枚举可能的用户名WPScan是一个扫描 WordPress 漏洞的黑盒子扫描器，它可以为所有 Web 开发人员扫描 WordPress 漏洞并在他们开发前找到并解决问题。一共扫描出来三个用户admin，jerry，tom可以使用此时我们已经有了用户名和密码字典使用wpscan爆破账号密码，指定刚刚我们生成的用户字典users.txt和密码字典passwd.txt爆破成功，结果如下jerry / adipiscing tom / parturient来登录成功在旁边导航栏找到了Pages，即可得到flag2这提示跟没提示一样If you can't exploit WordPress and take a shortcut, there is another way.Hope you found another entry point.文件上传上传一个php文件，被禁止了只能上传图片文件，我找了半天也没找到文件包含漏洞的地方文件后缀爆破，也全部失败了系统渗透换思路我们之前端口扫描的时候有一个7744端口，不知道是什么服务，百度也搜不出来用ssh默认22端口是拒绝服务的，指定一下7744端口的时候既让让我们输入密码，那这个就是ssh服务端口了第一个用户测试失败jerry / adipiscing第二个用户，登录成功tom / parturient命令被限制了'rbash'什么是rbash？它与一般shell的区别在于会限制一些行为，让一些命令无法执行，这里就让我的cat、clear、su等等命令进行了限制查看可用的命令compgen -c滑到最下面，有一个vi命令flag3.txt内容：可怜的老Tom总是追着Jerry跑。也许他应该为自己造成的压力而死。---网易有道Poor old Tom is always running after Jerry. Perhaps he should su for all the stress he causes.我们去/etc/passwd，看看能不能添加一个”root“用户，看样子不行了，你也可以直接查看这个文件的权限，这里我就不掩饰了去home，cd 并不能直接使用，但是有一个 ls直接找到了flag4告诉我们使用git离开这里，应该就是让我们用git提权查看文件所属，是jerry的，这里直接跳过吧，找到就好，没什么作用了我们看看刚刚的flag3.txt，所属用户为tom那么就用它提权试试执行:shell这里直接"提权"成功了但是没什么作用哈，root目录也切换不了查看环境变量rbash逃逸我们通过修改环境变量，之后使用jerry / adipiscing登录tom@DC-2:~$ export PATH=$PATH:/bin/ # 直接添加环境变量 rbash: PATH: readonly variable # rbash tom@DC-2:~$ BASH_CMDS[a]=/bin/sh;a # 把/bin/sh给a $ /bin/bash tom@DC-2:~$ su # 这里修改了BASH_CMDS的值后并不能直接使用su命令 bash: su: command not found tom@DC-2:~$ export PATH=$PATH:/bin/ # 添加环境变量 tom@DC-2:~$ su jerry # su 正常使用 Password: jerry@DC-2:/home/tom$ 图解此时我们是jerry权限，还是进不去root查看当前suid可用命令find / -perm -u=s -type f 2>/dev/null这里有一个sudo可以用，rbash逃逸中的必要条件git提权sudo git help config !/bin/bash 或 !'sh' #完成提权 # 或者 sudo git -p help !/bin/bash #输入!/bin/bash 即可打开一个用户为root的shellok完成dc-2靶机总结本文详细介绍了利用Kali Linux对Vulnhub的DC-2靶机进行渗透测试的过程。通过nmap发现靶机及开放端口，利用cewl和wpscan工具生成字典，并成功爆破WordPress后台账号密码。面对rbash限制，通过环境变量修改实现逃逸，并利用git和sudo提权获取root权限。整个流程覆盖了信息收集、漏洞利用、权限提升等多个阶段，展示了全面的渗透测试技巧。往期推荐Love-Yi情侣网站存在sql注入漏洞DC-1综合渗透从外网打到内网，msf后渗透，权限提升，入侵痕迹清除，绝对干货！Linux中Find命令也能提权？提权方式一文通透喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透【kali笔记】 Kali Shell编程从基础到进阶