靶机实战-DC-2

DC-2靶机实战

文章目录

    • DC-2靶机实战
    • 1、主机发现
    • 2、端口扫描及其详细信息
    • 3、访问web服务(80端口)

1、主机发现

靶机实战-DC-2_第1张图片
目标IP:192.168.232.143

2、端口扫描及其详细信息

靶机实战-DC-2_第2张图片
开放80、7744端口

3、访问web服务(80端口)

靶机实战-DC-2_第3张图片
找不到网站,判断是本地不解析域名,(通常是解析造成的)在hosts文件添加对应的ip和域名
物理机编辑/etc/hosts文件,添加靶机IP地址及对应域名:192.168.232.143 dc-2
然后访问:
靶机实战-DC-2_第4张图片
访问成功,并确认是wordpress
点开页面的flag,翻译,提示如下
靶机实战-DC-2_第5张图片
提示我们使用 cewl 收集页面信息,生成密码,用于登录(爆破)
网站可以正常访问,但没有后台登录页面,我们可以使用nikto工具扫描网站结构,找到wp-login.php登录页面:
靶机实战-DC-2_第6张图片

Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3300种有潜在危险的文件CGIs;超过625种服务器版本;超过230种特定服务器问题。
Nikto是一个Perl语言编写的扫描器。
优点:小巧便捷。
弱点:功能有限、命令行工具通病,结果不便查看。

访问登录页面:http://dc-2/wp-login.php
靶机实战-DC-2_第7张图片
一般WordPress网站都会有admin用户,但需要爆破密码。
使用wpscan工具扫描网站,获取可以登录网站的用户名,扫描后可以找到三个用户名:admin、tom、jerry
靶机实战-DC-2_第8张图片
靶机实战-DC-2_第9张图片
将扫描到的三个用户名添加到dc2users.list
靶机实战-DC-2_第10张图片
使用flag1中提示的工具cewl生成密码字典dc2.dic
靶机实战-DC-2_第11张图片
使用wpscan工具爆破可以登录用户的密码
靶机实战-DC-2_第12张图片
成功爆破tom和jerry用户
在这里插入图片描述
也可以使用hydra进行爆破:
靶机实战-DC-2_第13张图片
使用tom用户登录论坛,没找到有用信息
再使用jerry用户登录论坛,可以找到flag2,再无其他有用信息
靶机实战-DC-2_第14张图片
Flag2提示从另外一个方向切入,80端口切入失败,那就换另外一个7744(ssh)端口
使用hydra工具使用已生成的密码字典对已知的用户名进行ssh登录密码爆破
靶机实战-DC-2_第15张图片
获得ssh登录用户:tom / parturient
使用tom用户ssh登录:
靶机实战-DC-2_第16张图片
查看flag3.txt
在这里插入图片描述
发现是受限的shell命令,rbash,百度搜索rbash,发现有绕过方法,进行查找,并尝试:下面是参考链接

https://www.cnblogs.com/zaqzzz/p/12075132.html

输入BASH_CMDS[a]=/bin/sh;a
/bin/bash
在这里插入图片描述
发现还是不能查看,在输入export PATH=$PATH:/bin/
在这里插入图片描述
有一个 su 提示应该切换用户,发现有个flag4.txt
靶机实战-DC-2_第17张图片
提示还不是最终的flag,提示git,查看sudo配置文件,发现git是root不用密码可以运行,搜索git提权
靶机实战-DC-2_第18张图片
在这里插入图片描述
输入sudo git -p help config
靶机实战-DC-2_第19张图片
在这里插入图片描述
拿到root权限
改密码://123456
靶机实战-DC-2_第20张图片
切换到root:
靶机实战-DC-2_第21张图片

你可能感兴趣的:(靶机实战-DC-2)