接上一篇,本文为DC系列靶机DC-2渗透笔记
渗透环境:
攻击机Kali(Linux) IP:192.168.211.1
靶机:DC-2.ovk(Linux) IP:未知
首先导入DC-1靶机到VM中,并且开启靶机
将靶机与攻击机设置在同一网段下,这样靶机才能被攻击机扫描到,可以同时设置为桥接或者NAT模式。
一、检测同一网段下的IP
使用工具arp-scan
扫描当前网段所有IP:
arp-scan -l
靶机IP:192.168.211.132
在之前已经介绍过其他办法,这里就不一一陈列。
感兴趣的朋友可以看看本专栏前一篇文章
二、探测端口和服务
使用工具nmap
命令:
nmap -sV -p- 192.168.211.132
开放的服务有http和ssh,ssh的端口是7744
去网页访问80端口
会发现显示访问不了。
考虑IP未遵循重定向到域名
用nmap -A 全扫描其实就可以发现这个问题
这时候需要设置hosts文件,添加一条:
192.168.211.132 dc-2
kali的hosts文件在/etc/hosts
用vim打开添加
添加完之后就能访问了
指纹识别为WordPress框架,这是一个应用广泛的博客框架,迄今为止关于它和它的扩展及插件的漏洞都有不少。但是很可惜,我尝试过用metaspolit进行攻击,没有成功。
看到flag1
Flag1提示
cewl
cewl是一个字典生成工具
Flag1提示我们需要用这个工具生成网站相关的字典,这个字典大概率是密码,但其实我们并没有找到登录的页面,这时候需要用网站目录扫描工具进行扫描
命令:
drsearch -u http://dc-2/ -e * -x 404 403
#-e * 使用所有语言
#-x 不返回的页面
三、网页渗透
找到登录页面
访问
现在我们可以去生成密码字典了,生成位置默认为当前目录,当然也可以自己设置
命令:
cewl http://dc-2/ -w dict.txt #dict.txt为自命名文件
现在有了密码,还差账号,这时候需要用到另一个工具
获取站点用户名
WPScan是一款专门针对Wordpress网站的漏洞扫描工具,它还可以实现获取站点用户名。
命令:
wpscan --url dc-2 -e u
成功找到了三个用户,现在用户和密码字典都有了,我们可以开始爆破了。
爆破密码
依旧是用WPScan,把用户名装到txt文件里面去
命令:
wpscan --url dc-2 -U name.txt -P dict.txt
成功爆出了jerry用户和tom用户的密码
现在去登录
在jerry用户的ALL Pages页面下找到了flag2
Flag2文件提示……还不如不提示
它让我们去找其他方法,我们在信息收集的时候发现ssh服务是开放的,那我们尝试一下用得到的两个账号密码去登录
四、SSH登录
前面在信息收集的时候,得到了SSH端口为7744,而不是默认的22,这一点要注意
经过尝试jerry不行,tom可以
ssh tom@192.168.211.132 -p 7744
进入账户后第一件事就是查看当前权限
Rbash限制
关于rbash:
1.rbash是什么?
rbash是Restricted bash缩写,即受限制的bash。 管理员可通过指定普通用户的bash为rbash,以此来限制相关操作。简单来说,区别于一般的shell,它会限制一些行为,让一些命令无法执行。
2.设置rbash
cp /bin/bash /bin/rbash #复制一个bash,重命名为rbash
useradd -s /bin/rbash tom #设置用户tom登陆的shell为rbash
mkdir -p /home/tom/.bin #在tom用户下新建一个.bin目录存放可以执行的命令
关于rbash的逃逸方法:
现在我们确定一下在rbash的限制下,有哪些命令是可用的
查看环境变量
查看环境下可用命令
rbash的逃逸
这里有两种可用
1使用vi(vim)命令,设置shell
命令vi进入编辑界面,写入
:set shell=/bin/bash
:shell
加入后回车,当看见退出了vi编辑器就说明成功了
这时候查看可用命令
依旧不能,这是因为没有设置环境变量,系统找不到该用的shell
添加以下两条路径
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin/
这时候就可以明确看到环境变量发生了改变
2利用bash_cmds自定义一个shell
BASH_CMDS[X]=/bin/hash
执行x的时候就相当于在执行shell
这个同样是需要设置环境变量,这里就不再赘述
获得命令权限后,我们寻找下一个flag
找到flag3,提示su
su是切换账户的命令,现在我们唯一另外的账户就是jerry,试试吧
账号:jerry 密码:adipiscing
密码来自于前面WPScan爆破所得
Ok,查看权限
查找下一个flag
find / -name '*flag*'
Flag4提示git,应该是要提权,一般最后一个flag都是提权到root
五、提权
在DC-1靶机中我们使用了SUID提权,先试试吧
SUID提权
命令:利用find命令,找查具有SUID权限的可执行二进制文件
find / -perm -u=s -type f 2>/dev/null
确实没找到什么有用的命令,find也没有
那就看看当前哪些能使用root权限吧,命令:
sudo -l
Git可以
git提权
方法1
命令:
sudo git help config
回车然后输入:
!/bin/hash
成功
方法2
命令:
sudo git -p help
回车然后输入:
!/bin/hash
现在找寻最后一个flag吧
完结撒花~最后来一个海琴烟的全图~