vulnhub-DC系列通关记DC2靶机渗透

声明:此文章仅供参考学习,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者无关。

目录

明确目标

信息收集

flag1

cewl深度爬取关键信息生成密码字典工具

漏洞探测

dirb目录扫描工具

wpscan(wordpress框架专门的漏洞扫描工具)

漏洞利用

使用wpscan进行密码爆破

flag2

后渗透

flag3

flag4


靶机汇总:https://blog.csdn.net/qq_35258210/article/details/112465795

本次学习参考视频:https://www.bilibili.com/video/BV1i7411G7vm?p=271

明确目标

拿到4个flag

首先启动之后和DC1一样只显示终端登录界面,没有其他信息

虚拟机设置查看网络适配器高级选项可以看到该靶机的mac地址

vulnhub-DC系列通关记DC2靶机渗透

需要把靶机网络连接该为NAT模式

vulnhub-DC系列通关记DC2靶机渗透

进入kali扫描该网段的存活主机

命令:arp-scan 192.168.78.0/24

可以看到扫描结果显示我们的靶机ip为192.168.78.148,这时候我们扫描该ip开放端口

vulnhub-DC系列通关记DC2靶机渗透

信息收集

命令:nmap -p- 192.168.78.148

参数p是小写p,-p-进行全端口扫描

扫描结果显示开放80端口和7744端口

vulnhub-DC系列通关记DC2靶机渗透

我们去访问下试试,发现显示无法打开,审查元素网络模块发现在我们访问时进行了302重定向链接

vulnhub-DC系列通关记DC2靶机渗透

这是因为我们本地的hosts文件里没有这个ip地址所以无法解析,我们需要在本地的hosts文件里添加进去

要在使用浏览器访问这个ip的主机上添加

我的是macOS,windows的自行百度

先打开终端输入

命令:sudo vim /etc/hosts

vulnhub-DC系列通关记DC2靶机渗透

进入vim后按键盘上的i键插入ip地址+dc-2,插入后按键盘左上角Esc键后按:wq退出并保存

vulnhub-DC系列通关记DC2靶机渗透

好了后重新在浏览器输入ip就可以访问网页了

vulnhub-DC系列通关记DC2靶机渗透

火狐浏览器插件Wappalyzer可以看到这网站使用的CMS是开源的wordpress,version4.7.10

vulnhub-DC系列通关记DC2靶机渗透

flag1

导航栏处有个flag点开发现flag1,大概就是提示我们使用cewl网站密码进行扫描

vulnhub-DC系列通关记DC2靶机渗透

  • cewl深度爬取关键信息生成密码字典工具

cewl简单描述:

cewl是一款采用Ruby开发的应用程序,你可以给它的爬虫指定URL地址和爬取深度,还可以添额外的外部链接,通过爬行网站获取关键信息创建一个密码字典,接下来Cewl会给你返回一个字典文件

在kali系统中集成了我们直接使用就行

命令:cewl ip地址或域名 > 文件名

大于号是linux的命令符,将扫描结果重定向(保存)到指定文件

vulnhub-DC系列通关记DC2靶机渗透

vulnhub-DC系列通关记DC2靶机渗透

漏洞探测

  • dirb目录扫描工具

然后我们再使用kali集成的扫描目录工具对该ip进行目录爆破

命令:dirb http://ip地址

vulnhub-DC系列通关记DC2靶机渗透

这里发现一个后台登录目录

vulnhub-DC系列通关记DC2靶机渗透

  • wpscan(wordpress框架专门的漏洞扫描工具)

wpscan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括WordPress本身的漏洞、插件漏洞和主题漏洞等

启动命令:wpscan

我们先更新下该工具的数据库

更新命令:wpscan --update

vulnhub-DC系列通关记DC2靶机渗透

扫描命令:wpscan --url http://dc-2/

vulnhub-DC系列通关记DC2靶机渗透

可以看到该url当前的wordpress框架存在很多漏洞

vulnhub-DC系列通关记DC2靶机渗透

列出该url的用户

命令:wpscan --url http://dc-2/ -e u

vulnhub-DC系列通关记DC2靶机渗透

发现存在三个用户

vulnhub-DC系列通关记DC2靶机渗透

漏洞利用

我们把这三个用户名写到一个字典文件里

使用vim新建.dic文件

命令:vim user.dic

vulnhub-DC系列通关记DC2靶机渗透

vulnhub-DC系列通关记DC2靶机渗透

  • 使用wpscan进行密码爆破

命令:wpscan --url http://dc-2/ -U user.dic -P pwd.dic

-U -P都是大写的 -U指定用户名字典,-P指定密码字典

pwd.dic文件我们在前面使用cewl工具对其网站密码深度扫描时已经生成

vulnhub-DC系列通关记DC2靶机渗透

爆破结果找到了两个用户的密码

Username: jerry, Password: adipiscing

Username: tom, Password: parturient

vulnhub-DC系列通关记DC2靶机渗透

有了密码我们去网站后台登录下试试,前面对网站目录扫描已经找到了后台登录的url

vulnhub-DC系列通关记DC2靶机渗透

flag2

成功登录并且在这个导航栏还找到了flag2

vulnhub-DC系列通关记DC2靶机渗透

vulnhub-DC系列通关记DC2靶机渗透

大概意思就是如果我们无法再对wordpress进一步渗透,那么还有另外一个方法

另一种方法应该是我们前面用nmap扫描端口时除了有80端口还开放了7744端口

我们试着连接一波

经测试jerry和tom这两个账号,可以连接到tom账号上,密码前面已经获取了

命令:ssh -p 7744 tom@192.168.78.148

因为这个ssh协议不是默认22端口,所以需要-p指定端口

vulnhub-DC系列通关记DC2靶机渗透

后渗透

我们cat查看flag3.txt文件时提示我们没找到命令,以-rbash提示的

vulnhub-DC系列通关记DC2靶机渗透

vulnhub-DC系列通关记DC2靶机渗透

命令:echo $0

如果直接在命令行中echo $0,则打印的是当前运行的shell名。(如ksh, bash, csh)

如果在脚本中,$0表示脚本名称或函数名称,$1, 表示脚本或函数的第一个参数。

那么什么是rbash?

受限shell是LinuxShell限制一些bash shell中的功能,并且是从名字上很清楚。 该限制很好地实现了命令以及脚本在受限shell中运行。 它为Linux中的bash shell提供了一个额外的安全层。

既然-rbash限制了我们的操作,那么我们就绕过限制

命令:BASH_CMDS[a]=/bin/sh;a

命令:/bin/bash

输入命令后绕过了限制

但我们还是查看不了flag3.txt的内容

vulnhub-DC系列通关记DC2靶机渗透

导入环境变量

命令:export PATH=$PATH:/bin/

命令:export PATH=$PATH:/usr/bin

flag3

导入环境变量后,可以查看flag3.txt的内容了

vulnhub-DC系列通关记DC2靶机渗透

我们打印下/etc/passwd的内容

拉到最下面发现在/bin/bash下有个jerry用户

vulnhub-DC系列通关记DC2靶机渗透

vulnhub-DC系列通关记DC2靶机渗透

我们试着切换用户

命令:su jerry

su切换用户或更换用户

密码前面使用wpscan的时候已经爆破出来了

Username: jerry, Password: adipiscing

命令:ls

列出当前目录内容

flag4

可以看到这里找到了flag4

vulnhub-DC系列通关记DC2靶机渗透

今天是2020年的最后一天,想说的话很多,又怕说不完说一半不说一半,哈哈祝各位:

Happy 牛 Year,新的一年里身体健康,万事如意,更上一层楼。不单单是新的一年里,而是往后的每天亦是如此。

北京时间2021年02月11日18:02:00,今年是22年来,自己一个人在外头过除夕,哈哈,平常心对待,不说了整点东西吃,吃完后洗个澡出街走走看看城市里的除夕节当地人是怎样过的?

 

 

 

 

 

 

 

上一篇:WPscan扫描工具安装使用


下一篇:线段树(详细注释—pushdown写法)