| [ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC | 您所在的位置:网站首页 › kali中dirb使用详解 › [ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC |
[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC
|
🍬 博主介绍
👨🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋 🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋 🙏作者水平有限,欢迎各位大佬指点,相互学习进步! 文章目录 🍬 博主介绍一、环境搭建:1、靶场描述2、下载靶场环境3、启动靶场环境 二、渗透靶场1、目标:2、信息收集:寻找靶机真实IP3、信息收集:探端口及服务4、访问web站点5、发现flag16、做一个目录扫描7、用户名枚举8、暴力破解出账号密码9、发现flag210、在tom的家目录发现flag311、在jerry的家目录发现flag412、提权13.发现final-flag.txt # 三、相关资源 一、环境搭建: 1、靶场描述 Much like DC-1, DC-2 is another purposely built vulnerable lab for the purpose of gaining experience in the world of penetration testing. As with the original DC-1, it's designed with beginners in mind. Linux skills and familiarity with the Linux command line are a must, as is some experience with basic penetration testing tools. Just like with DC-1, there are five flags including the final flag. And again, just like with DC-1, the flags are important for beginners, but not so important for those who have experience. In short, the only flag that really counts, is the final flag. For beginners, Google is your friend. Well, apart from all the privacy concerns etc etc. I haven't explored all the ways to achieve root, as I scrapped the previous version I had been working on, and started completely fresh apart from the base OS install. 和DC-1一样,有五个flag 2、下载靶场环境靶场下载地址: https://www.vulnhub.com/entry/dc-2,311/下载下来的文件如下
下载下来是虚拟机压缩文件,直接用Vmvare导入就行。
设置虚拟机名称
导入中
导入完成之后打开后把网络模式设置为NAT模式。
虚拟机开启之后界面如下,我们不知道ip,需要自己探活,网段知道:192.168.233.0/24
目标就是我们搭建的靶场,靶场IP为:192.168.233.0/24
本机ip为192.168.233.130 所以分析可得靶机ip为192.168.233.178
发现开放了80端口,存在web服务,Apache/2.4.10, 发现开放了7744端口,开放了ssh服务,OpenSSH 6.7p1 4、访问web站点 http://192.168.233.178/发现访问不了,且发现我们输入的ip地址自动转化为了域名,我们想到dc-2这个域名解析失败,我们需要更改hosts文件,添加一个ip域名指向。 修改hosts文件,添加靶机IP到域名dc-2的指向 192.168.233.178 dc-2
添加完成之后,再次访问,访问成功
可以很明显的发现这是一个wordpress的站点 5、发现flag1在网页下面我们flag
点进入发现是flag1 大致意思如下: 你通常的单词列表可能不起作用,所以,也许你只是得小心点。 更多的密码总是更好,但有时你就是赢不了他们都是。 以一个身份登录,以查看下一个标志。 如果你找不到它,就以另一种身份登录。
大致意思就是暴力破解,账号密码 6、做一个目录扫描 dirb http://dc-2/
发现后台地址 http://dc-2/wp-login.php?redirect_to=http%3A%2F%2Fdc-2%2Fwp-admin%2F&reauth=1
发现多个遍历,但似乎没什么有用的东西 前面我们提到这是一个wordpress的站,我们采用专门针对wordpress的工具wpscan来进行扫描 Wpscan一些常用语句: wpscan --url http://dc-2 wpscan --url http://dc-2 --enumerate t 扫描主题 wpscan --url http://dc-2 --enumerate p 扫描插件 wpscan --url http://dc-2 --enumerate u 枚举用户扫描wordpress版本 wpscan --url http://dc-2
发现wordpress的版本4.7.10
登录页面尝试登录 随即输入用户名密码,提示用户名不存在,似乎可以进行用户名枚举
首先来个用户枚举,再尝试利用枚举到的用户爆破密码 wpscan --url http://dc-2 --enumerate u
枚举出三个用户名 admin jerry tom
根据flag1可以用暴力破解,我们使用cewl生成字典,使用wpscan进行暴力破解 cewl http://dc-2/ > 1.txt
爆破出来两个账号 jerry/adipiscing tom/parturient
jerry/adipiscing登录此站点
tom/parturient登陆此站点
登录后台之后,我们看到flag2,我用的是jerry的账号
点进去之后看到flag2提示信息,简单说就是如果wordpress行不通的话就会一个点,我们之前发现有ssh,我们看看ssh If you can't exploit WordPress and take a shortcut, there is another way. 如果你不能利用WordPress并采取一条捷径,还有另外一种方法。 Hope you found another entry point. 希望你找到了另一个入口。
登录ssh ssh [email protected] -p 7744
在tom账号的家目录 发现flag3 cat用不了,我这里采用了vi来查看,当前=也可以反弹一个shell到kali
提示内容如下
接下来,尝试rbash绕过 查看可以使用的命令 echo $PATH
cd进不去目录 使用ls直接查看目录信息
使用echo来绕过rbash BASH_CMDS[a]=/bin/sh;a export PATH=$PATH:/bin/ export PATH=$PATH:/usr/bin echo /*
看到提示信息如下: Good to see that you've made it this far - but you " re not home yet . 很高兴看到你走了这么远,但你还没回家。 You still need to get the final flag (the only flag that really counts!!! ). 您仍然需要获得最后的标志(唯一真正重要的标志!) No hints here 一you're on your own now. :- ) 这里没有暗示,一,你现在只能靠自己了。*-) Go on 继续 git outta here!!!!大致意思就是还没有结束。猜想需要提权才能获取到最终的flag,并且flag4 提示我们可以使用git,我们可以通过git来提权
我们可以看到无需root权限,jerry 可以使用 git sudo -l
查看一下可以使用的root权限命令 find / -user root -perm -4000 -print 2>/dev/null
sudo可以使用,但是不能到root权限(可以尝试jerry的用户) 在使用su jerry (密码:adipiscing)
jerry用户也不可以直接sudo su
发现可以使用git命令 (root权限)
使用git命令进行提取
输入!/bin/sh,直接输入就行
提权成功
1、靶场下载地址 2、git提权 3、rbash绕过 4、[ 常用工具篇 ] kali 自带目录扫描神器 dirb Headless (命令行)模式详解 5、WPScan使用完整攻略 |
【本文地址】