原文链接:Vulnhub-DC-2靶场
靶机概述
信息收集一、主机发现1、首先启动靶机
2、开启攻击机进行IP查询 首先查看靶机的MAC地址 使用arp-scan -l扫描主机
端口扫描命令:nmap -A -P- 192.168.10.54 这里发现了一个80端口和ssh的端口 漏洞挖掘首先查看web服务访问靶机的IP 发现URL栏写的不是靶机的ip,而是http://dc-2/,而很明显,DNS没有解析出来 修改hosts文件:vim /etc/hosts windows修改:C:\Windows\System32\drivers\etc\hosts
发现是wp的cms和一个flag 根据提示: 你通常的单词列表可能不起作用,所以,也许你只需要 cewl。 更多的密码永远是更好的,但有时你就是不能赢得他们的全部。 以一个身份登录以查看下一个标志。如果你找不到,就以另一个人的身份登录。
cewl是个啥,百度一下,是一款以爬虫模式在指定URL上收集单词的工具,可以将它收集到的单词纳入密码字典,以提高密码破解工具的成功率。 爆破后台账号密码使用nikto扫描 Nikto是一个开源的WEB扫描评估软件,可以对Web服务器进行多项安全测试,能在230多种服务器上扫描出 2600多种有潜在危险的文件、CGI及其他问题。Nikto可以扫描指定主机的WEB类型、主机名、指定目录、特定CGI漏洞、返回主机允许的 http模式等。
扫描到后台地址 使用wpscan进行账户扫描 wpscan换一种用法,列出站点的用户名、账号 wpscan --url dc-2 -e u 扫描到三个账号 根据flag1的提示使用cewl生成字典 cewl dc-2 > pass.txt
创建账号文件:
使用wpscan爆破 wpscan --url dc-2 -U user.txt -P pass.txt
爆破成功tom和jerry 使用jerry尝试登录后台 找到flag2
提示:如果你不能利用WordPress和走捷径,还有另外一种方法。希望你找到了另一个入口。 尝试ssh尝试登录ssh 继续使用jerry发现无法登录 尝试tom账号 成功登录 绕过rbash拿flag3ls查看有flag3.txt文件,但有权限限制 - BASH_CMDS[a]=/bin/sh;a
- /bin/bash
绕过rbash成功提示bash 添加环境变量 - export PATH=$PATH:/bin/
- export PATH=$PATH:/usr/bin
现在再使用cat查看flag3.txt文件
查看/etc/passwd文件发现jerry账号
拿web爆破的jreey密码碰碰运气 adipiscing
git 提权先查看一下自己能不能免密使用一些root级别的命令,恰好发现了git 输入如下命令,提权 sudo git help config 再调用bash !/bin/bash 现在就能以root身份执行命令了
| 
发表于 2021-10-18 16:26:52