实验环境:DC-2靶机,kali linux攻击机,win10辅助机
靶机:
链接:https://pan.baidu.com/s/1naWHuZDDwWOI2zqO6vG6OA 提取码:rkzw
1、kali主机扫描内网存活主机
查询kali主机的ip地址:192.168.246.130
创建DC2专用文件夹
开始扫描
继续具体扫描目标主机 开放的端口
目标系统开放了80端口与7744端口
开放了80端口,用浏览器访问ip地址,发现网页打不开,但是网址重定向为http://dc-2
所以需要在物理机中修改hosts文件。
如:
然后再输入ip地址访问网站即可打开
kali主机中也需要修改hosts文件
发现目录存在分级,所以可以进行目录扫描
存在wp-includes目录,打开发现目录中无可用信息,只得知网站的语言是php
发现flag标志
意思为可以使用cewl进行网站有用信息的爬取,然后再进行爆破登录后台
爬取密码信息命令为
cewl dc-2 >passwd.dic
2、使用wpscan扫描WordPress存在的漏洞。
Wpscan --url dc-2
使用下面命令得到更加详细的用户信息
Wpscan --url dc-2 -e u
创建用户名字典user.dic,里面的内容即为admin,Jerry,Tom。
账密进行爆破
可以是使用burpsuite,hydra等工具,这里使用wpscan
Wpscan --url dc-2 -U user.dic -P passwd.dic
通过百度可知WordPress网站后台登录地址为wp-login.php
使用tom的账号与密码进行登录,发现没有可用信息。
然后使用Jerry的账号进行登录,密码为adipiscing
可以发现有flag2
意思就是这个方法行不通,可以寻找其他途径进行渗透。
回到开始的信息扫描出,发现目标主机开放了7744端口,显示上面支持的协议为ssh协议,所以尝试在攻击机上使用用户名与密码字典进行爆破。
使用hydra命令
hydra -L user.dic -P passwd.dic ssh://192.168.246.139 -s 7744 -o
hydra.ssh -vV
-vV显示爆破信息
爆破出用户名为tom,密码为parturient
使用ssh登录
ssh tom@192.168.246.139 -p 7744
然后输入yes,接着输入密码登录成功。
接着输入ls发现flag3.txt,使用cat进行查看。
发现输出-rbash,表示不允许执行某些命令。
现在需要绕过限制
BASH_CMDS[a]=/bin/sh;a
/bin/bash
发现还是cat命令还是找不到·,但是已经进入了bash目录。
现在需要导入环境变量。
export PATH= P A T H : / b i n / e x p o r t P A T H = PATH:/bin/ export PATH= PATH:/bin/exportPATH=PATH:/usr/bin/
现在可以查看flag3.txt
要求需要使用jerry账户,现在查询etc目录中的passwd
发现有jerry账户
允许在/bin/bash/目录下登录jerry
尝试直接su jerry看能否登录。
输入密码,登录成功
cd自己根目录,发现flag4.txt
提示需要root用户才能够访问最终的flag。进入根目录发现root文件夹
但是无权访问,现在需要进行提权,根据提示使用git进行提权。
3、提权
查看具有root权限的命令
执行命令sudo -l发现
发现git具有root权限,但不需要输入密码
如
git提权
sudo git -p --help
强制进入交互状态,让页面缓冲区无法显示全部信息(缩小页面大小或者放大字体,这是关键)
接着调用bin下的bash
!/bin/bash
查看权限
查看最后的flag