DC2-靶机

下载地址

 我配置的环境:

kali:192.168.25.131              DC2 -靶机 和 kali 在同一C段

DC2-靶机_第1张图片

 

渗透

nmap扫描网段,发现存活主机

nmap -sP 192.168.25.0/24

DC2-靶机_第2张图片

 

发现主机 192.168.25.128,判定为DC2-靶机,继续使用nmap获取详细信息

nmap -A -p 1-65535 192.168.25.128

DC2-靶机_第3张图片

 

发现 http服务和 ssh端口开放,想到可以爆破SSH密码,我们先访问80端口,在浏览器输入ip 192.168.25.128,

得到下图效果,浏览器URL变为,说明靶机做了配置,输入ip自动跳转到 dc-2 域名

DC2-靶机_第4张图片

 

直接修改本地hosts文件,添加ip对应域名

win10路径: C:\Windows\System32\drivers\etc

linux路径: etc/hosts 

DC2-靶机_第5张图片                   DC2-靶机_第6张图片

 

再次访问,一个典型的Wordpress站点,页面发现Flag1:

DC2-靶机_第7张图片

 

无情的翻译机器:提示我们使用 cewl (爬虫抓取页面信息生成字段)来生成密码进行爆破。

DC2-靶机_第8张图片

 

在kali使用工具 cewl

cewl http://dc-2/ -w ~/桌面/passwd.txt

DC2-靶机_第9张图片

用户名我们可以使用kali已经集成的 wpscan ,然而如下,重新编译安装还是这个玩意,放弃

 

祭出我的大字典,用Burp爆破 (hydra也阔以),WordPress默认后台地址:/wp-admin  且WordPress当用户名不存在时会提示用户不存在,可增加爆破效率  

hydra -L user.txt  -P passwd.txt dc-2 http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'

                    DC2-靶机_第10张图片

Payloads导入对应字典

DC2-靶机_第11张图片

attack,kali继承的burp是社区版,所以不能调整线程,慢的一匹,还是用hydra吧。。。

DC2-靶机_第12张图片

我们跑出了 jerry和tom账户,登进去看看

tom,没啥东西,jerry用户界面如下,发现了flag2

DC2-靶机_第13张图片        DC2-靶机_第14张图片

 

无情的翻译机器,看来是提示我们SSH登录了,其实我们也可以找找关于WordPress的插件,一般WordPress CMS漏洞被挖的差不多了,但是其丰富的插件还是经常爆各种漏洞的,也是一个思路。

 

try,我们使用jerry用户登录失败,tom成功登陆

DC2-靶机_第15张图片

 

查看文件,发现flag3,txt 执行命令发现 command not found,这是因为ssh远程连接到服务器的环境变量中不包含对应可执行文件的路径。需要自行添加

DC2-靶机_第16张图片

BASH_CMDS[a]=/bin/sh;a 
$ /bin/bash
bash: groups: command not found
tom@DC-2:~$  export PATH=$PATH:/bin/
tom@DC-2:~$  export PATH=$PATH:/usr/bin

参考链接:https://blog.csdn.net/wang_624/article/details/90556462

DC2-靶机_第17张图片

提示我们切换到Jerry,发现flag4.txt

DC2-靶机_第18张图片

DC2-靶机_第19张图片

 

嗯,作者说没有提示,依然提示 git,我们想到git提权,try, 发现git可以执行root权限,说明我们的思路是正确的

DC2-靶机_第20张图片

sudo git -p help
!/bin/sh

参考链接

DC2-靶机_第21张图片

 

拿到我们最后的flag.txt,还推了下作者自己的Twitter~

DC2-靶机_第22张图片

 

 

 

总体来说,和DC基本都是一样的套路,很简单,适合新手练手练习工具的使用,并掌握一些基础知识~

 

 

 

 

 

 

 

 

 

 

你可能感兴趣的:(靶机)