最近一段时间我将会持续更新DC系列的靶机通关过程,大家如果也有正在玩儿这些靶机的可以关注一下作者,欢迎大家一起讨论学习!!!
1.实验环境:
攻击机:kali2023.2
靶机:DC-2
2.1扫描网段内的主机:
2.2扫描靶机开放端口等信息:
这里可以发现主机开放了两个端口一个80端口,一个7744端口,这里我一开始并没有很在意7744这个端口,可能是因为我经验不足一开始并不知道这是个什么玩意儿!!!
3.1查看靶机80端口的web服务:
这里插一句,我们一开始直接浏览的时候会发现进不去192.168.6.130,因为他将地址重定向到了dc-2,所以要将dc-2添加到hsots文件中去,大家进不去的话可以这样搞一下!这个文件的路径是 /etc/hosts:
然后我们再去浏览网页就可以进去了:
这边进来之后我们可以发现一个flag,很显眼,我们点进去看一下:
我给大家翻译一下这句话,就是说我们通常用的字典可能不管用完了以后要用 cewl 这个工具爬一遍这个网站,然后生成一个密码字典用来爆破,相当于间接告诉我们密码了!这里我一开始用百度的翻译翻译出来太官方了,导致我完全看不懂这段话的意思,所以英语口语的学习还是有必要的!!!
3.2使用 cewl 生成密码字典:
这条命令的意思是 使用这个软件爬一遍这个网站获取密码,然后将得到的密码写入到 dc-2.txt 这个文件中去!具体这个软件的用法大家可以去自行搜索一下,也不难!
ok,这里已经获取成功了,并且可以发现一共有238个密码
4.1爆破
这个网站我们很容易发现用的是wp框架,那么首先我们找到他的登陆页面:dc-2后面加/wp-admin/,一般wp的网站都是这个,如果不是的话我们可以到网上搜索一下即可。
然后我们根据经验拿admin账号进行爆破一下先,首先拿bp抓一下包然后用刚刚的密码字典进行爆破,这里会发现爆破不出来,然后既然密码是他给的那一定没有问题,问题只能出在账号上,因为这个账号本来也是我们根据经验猜的!
4.2使用wpscan获取网站账号:
这条命令的意思是使用wpscan 进行爬取所有的用户名:
ok,我们拿到三个用户,admin是已经试过不行的,那么接下来直觉告诉我们肯定就是jerry和tom这两个用户名可以用刚刚的密码字典进行爆破!
4.3用burpsuit对Jerry和Tom进行爆破:
首先我们随便登一个账号然后抓一下包:
这里我们对用户名和密码都打断点,然后设置好参数:
设置payload时会有两个参数,第一个是用户名,第二个是密码,我们来设置一下:
设置好以后就可以让他跑了:
这是我跑出来的结果!!!
然后我们就可以拿着两个账户去进行登录!
4.4利用爆破出来的账号寻找有用信息:
用这两个账号找了半天就发现这些,翻译之后的意思大概就是让我们重新寻找切入点,不要再对wordpress进行研究了。
这个时候我就呆住了,然后看完提示以后才想到之前的那个7744端口,还记得吗?
然后这里我们对7744进行重回新扫描,可以单独用一些脚本例如banner啊啥的,但是这里我们为了方便,以后我们直接-A 获取所有信息!!!
这样就一目了然了,这是ssh服务,那我们尝试一下远程登陆!!
5.1ssh远程登陆
ok,Jerry登不上
Tom可以登上
ok,到这里我觉得算一个难点了,会发现这个shell是一个受限的shell,他是rbash,并不是bash
然后看一下可以使用那些命令
最后我通过查阅资料以后发现这里其实涉及到一个大的知识点叫做 rbash逃逸,他的方法有很多,后面详细学习时会出一篇单独的文章来说这个!!!
经过反复尝试后我才用vi成功逃逸!
6.1vi rbash逃逸
进入vi后在命令模式下输入:
回车后再输入:
然后回车
我们其实目的是为了通过tom的账号去切换到Jerry的帐号,这里我们操作完后发现可以进行cd命令的操作了:
然后我们尝试进入Jerry这个文件夹:
然后找到了flag4.txt!
我们还是不能进行su jerry 切换账号,所以目前我们还是在一个受限的shell中,只不过比之前那个稍微强一点了!
在后面我们可以看到现在可以用 export这条命令了,嫌我们导入一下环境变量:
6.2登录Jerry账号:
ok上来了,查看一下可不可以suid提权:
没有我们常用的,例如dc1的find这种!
然后我们看一下有没有可以sudo的命令:
欧克 ,有一条命令 ,并且可以无密码使用,那基本就是他了,我们锁定它现在!
7.1git提权
欧克了成功提权拿到root权限!!!
成功拿到折后的flag,这期就到这里,欢迎大家在评论区及交流讨论!!!
持续更新中~~~
455
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
