DC - 2靶机通关

在开始之前,需要将靶机的网络连接由桥接模式改为NAT模式,以保证我们的攻击机可以发现靶机。

老规矩,用nmap -sP 192.168.16.1/24扫网段内存活的主机(-sP 指的是ping 扫描,以发现对ping有响应的主机),当然你也可以用arp-scan -l扫描,需要注意的是,它利用的是ARP协议,所以只能扫本地网络中的主机,如果是实战中的渗透测试,可能用不了,因为目标并不都是在你的本地网中,当然一半人家找你做测试肯定是可以到他们公司,连上他们的网的,不要以私人非法的名义对别人家网站做测试!

扫描之后发现是192.168.16.136。再进一步扫描端口 nmap -A 192.168.16.136 -p 1-65535 后面的端口范围可自行指定。可以发现开了80和7744,其中7744是ssh服务,说明这个靶机还是有一定的防护的,改变了ssh的默认22/23端口号.

接着就访问一下80端口吧。注意这里直接访问可能是不行的,是本地地址解析的问题,在自己攻击机里的hosts文件里插入一行192.168.16.136 dc-2 即可

linux的路径在/etc文件夹下

然后就可以拿到第一个flag。

根据提示知道需要用cewl爬一下本网站,命令:cewl  http://dc-2/ -w pass.txt 就会根据本网站生成一个文件保存在pass.txt中。除此之外可以发现该网站用的CMS是wordpress,对此kali有一个自带的针对其的工具叫wpscan,使用wpscan --url http://dc-2 -e u命令

WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括主题漏洞、插件漏洞和WordPress本身的漏洞。最新版本WPScan的数据库中包含超过18000种插件漏洞和2600种主题漏洞,并且支持最新版本的WordPress。值得注意的是,它不仅能够扫描类似robots.txt这样的敏感文件,而且还能够检测当前已启用的插件和其他功能。

结果如图,爆出了三个用户名。然后将这三个用户名放入uesrdic.txt中当作字典。

既然有了用户名和密码字典,自然是要进行暴破的,所以还需要找到登录页面。使用自动化脚本dirsearch.py(可自行搜索下载,或者用dirb http://dc-2/ kali自带的工具)进行目录扫描,发现登录页面

打开如下:

用wpscan就可以暴破,命令:wpscan --url http://dc-2/wp-login.php -U userdic.txt -P pass.txt(或者你用hydra,burpsuit)结果如下:就用第一个登陆下吧。

进去后随便点点,找到了flag2。

尝试登一下ssh,jerry账户登不上去,不知道是密码输错了还是该账户不是ssh登录账号,所以就接着使tom,成功登录:

ls发现有flag3,但是目前的身份权限非常低,vim,whoami等命令都用不了,但试了后发现vi可以用,于是拿到了第三个flag:

意思是和Jerry有关,看来需要转到Jerry账户

直接su jerry发现转不过去,所以需要做个绕过。用BASH_CMDS[a]=/bin/sh;a

接着输入/bin/bash

还需要设置环境变量 export PATH=$PATH:/bin/ 然后cat flag3.txt可以用了。再su jerry切换成功。但是当前还是再tom的用户路径下,所以要cd 到jerry的目录,然后发现第四个flag:

其实在上面我想进到Jerry文件夹时看到了root账户,估计最后一个flag在里面。所以现在要做的是提权。查找可以sudo的sudo -l

Jerry的git命令可以利用

输入sudo git -p help config 和!/bin/ 成功

你可能感兴趣的:(DC - 2靶机通关)