声明:此文章仅供参考学习,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者无关。
目录
靶机汇总:https://blog.csdn.net/qq_35258210/article/details/112465795
本次学习参考视频:https://www.bilibili.com/video/BV1i7411G7vm?p=271
明确目标
拿到4个flag
首先启动之后和DC1一样只显示终端登录界面,没有其他信息
虚拟机设置查看网络适配器高级选项可以看到该靶机的mac地址
需要把靶机网络连接该为NAT模式
进入kali扫描该网段的存活主机
命令:arp-scan 192.168.78.0/24
可以看到扫描结果显示我们的靶机ip为192.168.78.148,这时候我们扫描该ip开放端口
信息收集
命令:nmap -p- 192.168.78.148
参数p是小写p,-p-进行全端口扫描
扫描结果显示开放80端口和7744端口
我们去访问下试试,发现显示无法打开,审查元素网络模块发现在我们访问时进行了302重定向链接
这是因为我们本地的hosts文件里没有这个ip地址所以无法解析,我们需要在本地的hosts文件里添加进去
要在使用浏览器访问这个ip的主机上添加
我的是macOS,windows的自行百度
先打开终端输入
命令:sudo vim /etc/hosts
进入vim后按键盘上的i键插入ip地址+dc-2,插入后按键盘左上角Esc键后按:wq退出并保存
好了后重新在浏览器输入ip就可以访问网页了
火狐浏览器插件Wappalyzer可以看到这网站使用的CMS是开源的wordpress,version4.7.10
flag1
导航栏处有个flag点开发现flag1,大概就是提示我们使用cewl网站密码进行扫描
-
cewl深度爬取关键信息生成密码字典工具
cewl简单描述:
cewl是一款采用Ruby开发的应用程序,你可以给它的爬虫指定URL地址和爬取深度,还可以添额外的外部链接,通过爬行网站获取关键信息创建一个密码字典,接下来Cewl会给你返回一个字典文件
在kali系统中集成了我们直接使用就行
命令:cewl ip地址或域名 > 文件名
大于号是linux的命令符,将扫描结果重定向(保存)到指定文件
漏洞探测
-
dirb目录扫描工具
然后我们再使用kali集成的扫描目录工具对该ip进行目录爆破
命令:dirb http://ip地址
这里发现一个后台登录目录
-
wpscan(wordpress框架专门的漏洞扫描工具)
wpscan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括WordPress本身的漏洞、插件漏洞和主题漏洞等
启动命令:wpscan
我们先更新下该工具的数据库
更新命令:wpscan --update
扫描命令:wpscan --url http://dc-2/
可以看到该url当前的wordpress框架存在很多漏洞
列出该url的用户
命令:wpscan --url http://dc-2/ -e u
发现存在三个用户
漏洞利用
我们把这三个用户名写到一个字典文件里
使用vim新建.dic文件
命令:vim user.dic
-
使用wpscan进行密码爆破
命令:wpscan --url http://dc-2/ -U user.dic -P pwd.dic
-U -P都是大写的 -U指定用户名字典,-P指定密码字典
pwd.dic文件我们在前面使用cewl工具对其网站密码深度扫描时已经生成
爆破结果找到了两个用户的密码
Username: jerry, Password: adipiscing
Username: tom, Password: parturient
有了密码我们去网站后台登录下试试,前面对网站目录扫描已经找到了后台登录的url
flag2
成功登录并且在这个导航栏还找到了flag2
大概意思就是如果我们无法再对wordpress进一步渗透,那么还有另外一个方法
另一种方法应该是我们前面用nmap扫描端口时除了有80端口还开放了7744端口
我们试着连接一波
经测试jerry和tom这两个账号,可以连接到tom账号上,密码前面已经获取了
命令:ssh -p 7744 tom@192.168.78.148
因为这个ssh协议不是默认22端口,所以需要-p指定端口
后渗透
我们cat查看flag3.txt文件时提示我们没找到命令,以-rbash提示的
命令:echo $0
如果直接在命令行中echo $0,则打印的是当前运行的shell名。(如ksh, bash, csh)
如果在脚本中,$0表示脚本名称或函数名称,$1, 表示脚本或函数的第一个参数。
那么什么是rbash?
受限shell是LinuxShell限制一些bash shell中的功能,并且是从名字上很清楚。 该限制很好地实现了命令以及脚本在受限shell中运行。 它为Linux中的bash shell提供了一个额外的安全层。
既然-rbash限制了我们的操作,那么我们就绕过限制
命令:BASH_CMDS[a]=/bin/sh;a
命令:/bin/bash
输入命令后绕过了限制
但我们还是查看不了flag3.txt的内容
导入环境变量
命令:export PATH=$PATH:/bin/
命令:export PATH=$PATH:/usr/bin
flag3
导入环境变量后,可以查看flag3.txt的内容了
我们打印下/etc/passwd的内容
拉到最下面发现在/bin/bash下有个jerry用户
我们试着切换用户
命令:su jerry
su切换用户或更换用户
密码前面使用wpscan的时候已经爆破出来了
Username: jerry, Password: adipiscing
命令:ls
列出当前目录内容
flag4
可以看到这里找到了flag4
今天是2020年的最后一天,想说的话很多,又怕说不完说一半不说一半,哈哈祝各位:
Happy 牛 Year,新的一年里身体健康,万事如意,更上一层楼。不单单是新的一年里,而是往后的每天亦是如此。
北京时间2021年02月11日18:02:00,今年是22年来,自己一个人在外头过除夕,哈哈,平常心对待,不说了整点东西吃,吃完后洗个澡出街走走看看城市里的除夕节当地人是怎样过的?