目录
一、DC-2靶机搭建
DC: 2 ~ VulnHubhttps://www.vulnhub.com/entry/dc-2,311/点击上方链接,下载DC4.zip(第二个)并解压,VMware打开虚拟机,找到dc-2镜像。
或者双击解压出来的DC-2.ova,自动导入到VMware中。
二、收集信息。
1、找到DC-2的IP地址
使用kali linux(桥接,因为dc靶机也是桥接!) 自带工具nmap扫描物理主机网段。
找到DC-2的ip地址。
2、扫描DC-2靶机开放了那些端口,以及端口的详细信息。
可见开放了80端口和7744端口
可见80http服务,7744是ssh端口。
三、访问80端口,发现超时。
经过测试,必须以dc-2的域名的方式去访问。
1、修改hosts文件
所以打开C:/windows/system32/drivers/etc/hosts文件进行IP地址和域名绑定。(如果不能保存,请切换到administrator用户,进行修改。)
2、访问http://dc-2成功。
发现dc-2靶机web页面上,有很多单词。(第四步有用)
四、目录扫描,拿到重要信息。
1、使用kali自带工具dirb,扫描靶场目录。
可见发现wp-admin,尝试访问。
2、尝试暴力破解
1、修改kali文件/etc/hosts文件,绑定域名。
使用cewl http://dc-2 -w pwd.txt 把网页上的英文字母下载下来生成pwd.txt密码字典(自动去重)
2、使用wpscan --url dc-2 --enumerate 扫描登录用户
发现三个网页登录用户,admin、jerry、tom
3、把admin、jerry、tom三个用户写入到user.txt(用户字典)
4、使用 wpscan --url http://dc-2 -U user.txt -P out.txt 暴力破解(也可使用工具hydra)
发现jerry用户的密码:adipiscing tom用户的密码:parturient
五、拿到shell
拿到用户和密码之后,第一时间想能不能ssh登录。
刚好在第一步信息收集中,我们发现靶机开放了ssh7744端口。
尝试以jerry用户登录,失败!
尝试以tom用户登录,成功!
六、提权
起初使用任何命令,发现权限很低。
后来发现是靶机DC-2,环境变量有问题。
使用export查看变量 受限shell是LinuxShell限制一些bash shell中的功能
compgen -c
使用vi命令,打开vi编辑器,然后在vi中获取一个新的shell
:set shell=/bin/bash
:shell
添加环境变量
export PATH='/usr/sbin:/usr/bin:/sbin:/bin'
尝试sudo提权、SUID提权、/etc/passwd 、/etc/crontab、隐藏文件提权都不行。
所以现在尝试切换到jerry用户。
首先sudo提权
发现git提权。
sudo git -p help config
!/bin/sh
使用whoami命令
可见登录用户为root,说明提权成功。
结尾:
别在树下徘徊,别在雨中沉思,别在黑暗中落泪。向前看,不要回头,只要你勇于面对抬起头来,就会发现,分数的阴霾不过是短暂的雨季。向前看,还有一片明亮的天,不会使人感到彷徨。
好了今天的DC-2靶机渗透测试到此结束了。
希望大家能从中学习到新东西。
水平有限,忘大家海涵。