0x00 渗透环境介绍
前面通过渗透DC-1,这次我们来研究一下DC-2系列
下载地址:https://www.vulnhub.com/entry/dc-2,311/
多的就不说了,开干
0x01 信息收集
1)第一步还是需要获取到目标IP地址,靶机与本机环境在同一个,使用扫描域内存活主机
arp-scan -l 获取到IP地址为 192.168.213.140
2)端口扫描
全端口扫描
nmap -sS -p- 192.168.213.140`
3)目录扫描 1.御剑
也可以使用kali的dirb http://dc-2
发现了一个主页目录
进去看一下,一个新的web页面,供下一步研究,继续我们信息收集
4)web页面信息收集–url重定向–发现flag
我们直接去80端口查看页面,发现IP无法直接到达,get地址给我们返回了一个地址信息,想到url重定向
如何去配置了host文件后,web页面可以正常访问,然后进行web页面的信息收集
并且发现了flag-1
翻译flag1提示信息—–
你通常的单词列表可能不起作用,所以相反,也许你只需要被割除。 更多的密码总是更好,但有时你只是不能赢得他们所有。
以一个登录以查看下一个标志。 如果找不到,请以其他身份登录。
提示我们需要使用CeWL工具
web页面收获到服务器的版本—apache 2.4.10
0x02 渗透测试攻击
1)首先给网站来一个用户枚举 利用wpscan对网站用户进行枚举
wpscan 是一款漏扫工具 扫描网站,爆破账户 密码 kali可以直接使用
wpscan --url http://dc-2 -e u 
2)flag提示我们通过常规密码字典爆破无法破解密码,提示我们使用cewl(彩虹表)
cewl根据网站地址随机生成爆破密码到文档作为字典
cewl http://dx-2 > /tmp/pass.txt 输出到pass.txt
3)wpscan配合密码字典爆破-指定账户字典与密码字典(注意账户字典内格式)
wpscan --url http://dc-2/ -U /tmp/users.txt -P /tmp/9.txt
4)获得账户密码第一件事肯定去登录后台
通过kali目录扫描网站获取后台地址—http://dc-2/wp-login.php
dirb http://dc-2通过尝试可以登录tom与je的账户,在里面获取到flag2
flag2提示:7744端口ssh—使用tom登录 je无法登录
通过命令使用发现被做了命令使用限制 (-rbash限制)
查看只能使用一些命令
在登录后ls发现了flag3,但是由于命令限制无法查看,这里补充一个kali查看命令的合集
head文件前十行 tail:文件后十行 more :分页查看 less:逐行查看 vi:查看
通过less逐行查看获取到了flag3的信息内容–tom受限制,突破点在切换用户
0x03 权限提升
定义关联形数组a的值为sh命令位置
通过a调用命令
重新定义path路径获取更多命令
获取到flag4—-提示git提权
查看当前用户sudo -l—查看用户可执行权限–发现sudo git—-查询suid提权网站
sudo PAGER='sh -c "exec sh 0<&1"' git -p help获取root权限shell—-发现终极flag
0x04 补充
suid命令提权查询:https://gtfobins.github.io/gtfobins/git/
查找系统上运行的所有SUID可执行“文件”。
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} ;
