Vulnhub靶机渗透测试之DC-2
- 环境搭建
-
靶机镜像下载地址:https://www.vulnhub.com/entry/dc-2,311/;
-
需要将靶机和kali攻击机放在同一个局域网里;
-
kali的IP地址:192.168.40.142。
1. 信息收集
- 使用 nmap 扫描 192.168.40.0/24 网段存活主机
发现靶机IP为:192.168.40.143。
- web指纹识别
发现该网站是wordpress,属于cms系统之一
- 使用 nmap 扫描靶机端口信息
发现开放了80、7744端口。
- 访问靶机的80端口
发现它自动进行了域名解析,跳转到了DC-2的域名,但我们并访问不到,需要修改本地hosts文件:
192.168.40.143 DC-2
发现:
-
发现是一个WordPress site网站;
-
找到flag1,得到提示信息关键字cewl: Cewl是一个通过指定url及深度,使用爬虫技术,生成字典的一个工具。
使用该工具爬取cd-2网站:
# 爬取该网站,生成pwd.dic文件
cewl dc-2 >pwd.dic
结果:总计爬取到239个单词(作为密码字典)
- 网站目录扫描
1)工具一:DirBuster,它支持全部的Web目录扫描方式。它既支持网页爬虫方式扫描,也支持基于字典暴力扫描,还支持纯暴力扫描。
2)工具二:dirb,它是一个类似windows下御剑这些目录扫描工具。
基本参数:
-a "User-Agent" 设置UA
-c "cookie" 设置cookie带cookie扫描
-o 输出结果
基本扫描,可以扫描出目录和状态码,这里大部分重定向了:
3)使用msf辅助模块,扫描网站的目录
访问:http://192.168.40.143/wp-includes
2. 漏洞利用
- 使用wpscan工具扫描该网站
由于该网站是一个WordPress site,我们可以使用WPScan是Kali默认自带的一款漏洞扫描工具进行扫描检测。
WPScan能够扫描WordPress网站中的多种安全漏洞,其中包括WordPress本身的漏洞、插件漏洞和主题漏洞,它不仅能够扫描类似robots.txt这样的敏感文件,而且还能够检测当前已启用的插件和其他功能。
更新工具:
扫描网站列出该网站一些用户:wpscan --url dc-2 -e u
这里我们发现三个用户admin、jerry、tom,选择爆破密码。
- 爆破密码
创建用户名字典:
使用wpscan爆破用户名密码,密码字典就是上面生成的pwd.dic:
wpscan --url dc-2 -U users.dic -P pwd.dic
爆破出密码:
- 进入网站后台,使用上面账密登录
再尝试用jerry登录,发现flag2:
- 使用九头蛇爆破7744端口的账密
hydra -L users.dic -P pwd.dic ssh://192.168.40.143 -s 7744 -vV -f
- 使用上面的账密ssh连接
发现flag3,但是cat命令无法使用!
绕过-rbash:
BASH_CMDS[a]=/bin/sh;a
/bin/bash
但是cat命令还是不能使用,这里还需要导入环境变量里:
export PATH=$PATH:/bin/
export PATH=$PATH:/user/bin
成功获得flag3,提示信息指向jerry。
- 查看passwd文件
发现jerry用户,尝试使用上面爆破出来的密码登录:
发现flag4,已经没有什么提示了,唯一提示是 -git,考虑使用git命令进行提权。
3. 提权
查看sudo可以执行的命令:
发现git命令具有root权限且不需要密码:
git提权:
使用命令 sudo git -p --help
强制进入交互状态,让页面缓冲区无法显示全部信息(放大字体即可)。
成功拿到root权限!