vulnhub靶场,DC-2
环境准备
靶机下载地址:https://www.vulnhub.com/entry/dc-2,311/ 攻击机:kali(192.168.58.130) 靶机:DC-2(192.168.58.145) 下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式
信息收集
使用arp-scan确定目标靶机 确定目标靶机IP为192.168.58.145 使用nmap扫描目标靶机端口开放情况 目标靶机开放端口:80、7744 这里可以看到目标靶机还是做了安全意识,将ssh端口改为了7744 浏览器访问目标靶机80端口 发现本来输入的IP地址怎么变成域名了,猜测是域名重定向了 进入kali配置文件/etc/hosts,进行配置 再次访问目标靶机80端口,成功进入web页面 发现有个选项为flag,点击flag成功获取到第一个flag 使用插件浏览器插件Wappalyzer查看网站基本信息 使用dirb进行网站目录扫描 发现网站后台登入页面
渗透过程
前面通过信息收集获得到了flag1 这里提示我们需要使用CeWL工具(CeWL是一款以爬虫模式在指定URL上收集单词的工具,可以将它收集到的单词纳入密码字典,以提高密码破解工具的成功率。)
CeWL使用教程:https://blog.csdn.net/qq_43613772/article/details/106451537?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522162588857016780265451147%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=162588857016780265451147&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_v2~rank_v29-8-106451537.first_rank_v2_pc_rank_v29&utm_term=cewl&spm=1018.2226.3001.4187
cewl http://dc-2/ -w pass.dic
前面信息收集发现此网站的CMS为wordpress,可以使用wpscan(WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括主题漏洞、插件漏洞和WordPress本身的漏洞。最新版本WPScan的数据库中包含超过18000种插件漏洞和2600种主题漏洞,并且支持最新版本的WordPress。值得注意的是,它不仅能够扫描类似robots.txt这样的敏感文件,而且还能够检测当前已启用的插件和其他功能。)
wpscan使用教程:https://www.freebuf.com/sectool/174663.html
wpscan --url http://dc-2/ -e u
发现三个用户名,将他们放到一个字典里
wpscan --url http://dc-2/ -U user.dic -P pass.dic
成功获得jerry、tom账户的密码 使用jerry用户和tom用户登入网站后台 成功登入,但是这里只有jerry用户能登入进去,tom用户是不行的 登入成功后点击page,成功找到第二个flag 使用tom和jerry进行远程连接 成功连接,但是这里只有tom用户能连接过去 查看当前目录下的文件,发现第三个flag 但是去查看的时候发现并不能去查看,系统回显rbash 网上查找资料可知是受到了rbash限制,需要绕过rbash
rbash常见绕过方法:https://blog.csdn.net/weixin_43705814/article/details/111879362?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522162589028916780274151824%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=162589028916780274151824&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-2-111879362.first_rank_v2_pc_rank_v29&utm_term=rbash&spm=1018.2226.3001.4187
BASH_CMDS[a]=/bin/sh;a 注:把/bin/bash给a变量
export PATH=$PATH:/bin/ 注:将/bin 作为PATH环境变量导出
export PATH=$PATH:/usr/bin 注:将/usr/bin作为PATH环境变量导出
再次查看第三个flag,成功获取第三个flag flag3提示我们需要通过su命令切换为jerry用户 切换到jerry目录,成功获得第四个flag flag4的提示我们需要拿到最后一个flag,并且给出了关键词git
权限提升
flag4给出了关键词git,所以这里可以使用sudo提权(sudo在linux用来临时使用其他用户拥有的命令。比如当前用户是test1(普通用户),vi命令拥有者是test2,test1是无法使用vi命令的,但是如果配置了test1可以通过sudo命令使用vi,则test1可以通过“sudo vi”来使用vi命令。要注意的是,使用的时候,实际执行vi命令的用户是test2,如果这时候在vi的命令模式下执行/bin/bash命令,则会打开一个以test2为用户的shell,如果test2刚好是root用户,则打开的就是一个root shell,从而实现提权。)
sudo提权参考链接:https://blog.csdn.net/qq_41123867/article/details/105150776
首先输入sudo git -p ,然后在终端中输入!/bin/bash 点击回车运行,发现会获得一个root权限的shell
进入root根目录,查看当前目录文件,成功获得最后一个flag 至此,所以flag查找完毕,DC-2靶机渗透结束
|