DC2靶机练习

实验环境:DC-2靶机,kali linux攻击机,win10辅助机

靶机:
链接:https://pan.baidu.com/s/1naWHuZDDwWOI2zqO6vG6OA 提取码:rkzw

1、kali主机扫描内网存活主机

查询kali主机的ip地址:192.168.246.130

创建DC2专用文件夹

开始扫描
DC2靶机练习
继续具体扫描目标主机 开放的端口
DC2靶机练习
目标系统开放了80端口与7744端口

开放了80端口,用浏览器访问ip地址,发现网页打不开,但是网址重定向为http://dc-2

所以需要在物理机中修改hosts文件。
如:
DC2靶机练习
然后再输入ip地址访问网站即可打开
DC2靶机练习
kali主机中也需要修改hosts文件
DC2靶机练习
发现目录存在分级,所以可以进行目录扫描

存在wp-includes目录,打开发现目录中无可用信息,只得知网站的语言是php
DC2靶机练习
发现flag标志
DC2靶机练习
意思为可以使用cewl进行网站有用信息的爬取,然后再进行爆破登录后台
爬取密码信息命令为

cewl dc-2 >passwd.dic

2、使用wpscan扫描WordPress存在的漏洞。

Wpscan --url dc-2

使用下面命令得到更加详细的用户信息

Wpscan --url dc-2 -e u

DC2靶机练习
创建用户名字典user.dic,里面的内容即为admin,Jerry,Tom。

账密进行爆破

可以是使用burpsuite,hydra等工具,这里使用wpscan

Wpscan --url dc-2 -U user.dic -P passwd.dic

DC2靶机练习
通过百度可知WordPress网站后台登录地址为wp-login.php

使用tom的账号与密码进行登录,发现没有可用信息。

然后使用Jerry的账号进行登录,密码为adipiscing

可以发现有flag2
DC2靶机练习
意思就是这个方法行不通,可以寻找其他途径进行渗透。

回到开始的信息扫描出,发现目标主机开放了7744端口,显示上面支持的协议为ssh协议,所以尝试在攻击机上使用用户名与密码字典进行爆破。

使用hydra命令

hydra -L user.dic -P passwd.dic ssh://192.168.246.139 -s 7744 -o
hydra.ssh -vV

-vV显示爆破信息
DC2靶机练习
爆破出用户名为tom,密码为parturient

使用ssh登录

ssh tom@192.168.246.139 -p 7744

然后输入yes,接着输入密码登录成功。

接着输入ls发现flag3.txt,使用cat进行查看。
DC2靶机练习
发现输出-rbash,表示不允许执行某些命令。

现在需要绕过限制

BASH_CMDS[a]=/bin/sh;a
/bin/bash

DC2靶机练习
发现还是cat命令还是找不到·,但是已经进入了bash目录。

现在需要导入环境变量。

export PATH= P A T H : / b i n / e x p o r t P A T H = PATH:/bin/ export PATH= PATH:/bin/exportPATH=PATH:/usr/bin/

现在可以查看flag3.txt
DC2靶机练习
要求需要使用jerry账户,现在查询etc目录中的passwd
发现有jerry账户
DC2靶机练习
允许在/bin/bash/目录下登录jerry

尝试直接su jerry看能否登录。

输入密码,登录成功
DC2靶机练习
cd自己根目录,发现flag4.txt
DC2靶机练习
提示需要root用户才能够访问最终的flag。进入根目录发现root文件夹
DC2靶机练习
但是无权访问,现在需要进行提权,根据提示使用git进行提权。

3、提权

查看具有root权限的命令

执行命令sudo -l发现
DC2靶机练习
发现git具有root权限,但不需要输入密码

DC2靶机练习

git提权
sudo git -p --help

强制进入交互状态,让页面缓冲区无法显示全部信息(缩小页面大小或者放大字体,这是关键)

接着调用bin下的bash

!/bin/bash

DC2靶机练习
查看权限
DC2靶机练习
DC2靶机练习

查看最后的flag
DC2靶机练习

上一篇:快速搭建一个文档站点


下一篇:c#表达式扩展与或非 通过表达式获取字段属性名称