关于Vulnhub 以及DC,以及如何使用ova安装,我已经在DC-1中介绍了 ,今天带来第二弹,比第一弹难度稍微大一点,重点还是考察工具的使用和命令的熟练程度 附上链接Vulnhub DC Challenges之 DC-1
DC-2,我们主要是从web入手渗透拿到flag,需要大家对信息收集要有一定的了解,需要掌握的工具:nmap,hydra,cewl。
DC-2:192.168.248.154 ubuntu:192.168.248.149
这里作者提示我们需要设置hosts才能访问web服务。 提供linux和windows设置方式 Linux vim /etc/hosts 添加 靶机ip DC-2 Windows C:\Windows\System32\drivers\etc\hosts 添加 靶机ip DC-2
扫描网段 扫描端口 这里我只扫描了常用的端口,只有80端口啊,看来这是一次web提权之路。 如果之前没有设置hosts ,这里访问就会失败。设置之后,接下来就可以正常去访问DC-2的web服务了。查看下网站的指纹信息,
尝试直接去msf利用WordPress 去提权,发现需要admin的密码,作废
查看页面信息,发现了flag1 tip:登录去找到下一个flag,可能需要账号和密码,这里提示你使用cewl工具,密码藏在页面里 先去看看页面都有什么,看看有没有登录的地方,尝试去试探login.php,admin.php,等等类似后台或者登录的页面,发现都会导向一个搜索页面 随便搜索点东西,发现flag1 额,发现flag1 ,什么鬼,发现右下边的都可以点,试着点点看看有什么东西没,发现登录点,这是大收获啊。发现后台
返回刚才的搜索页面继续去收集信息,flag2 也出来了,又是提示啊,看来这里有两个方法啊, 接下来我们尝试利用cewl 生成密码字典 然后有了密码, 没有用户名,找到了一款针对于wordpress的安全扫描软件
简要介绍一下, WPScan是一款针对wwordpress的安全扫描软件;WPScan可以扫描出wordpress的版本,主题,插件,后台用户以及爆破后台用户密码等(但是我的kali的工具一直要更新,如果大家有这个工具可以尝试一下)
那么尝试利用burp去爆破通过对返回长度不同判断是否有当前用户,这里通过我强大的字典,跑出来了三个用户名:admin,jerry和tom 之后使用hydra去爆破wordpress后台,然后分别设置用户字典和密码字典,我们去爆破 提供两个爆破思路 使用hydra
hydra -L user.txt -P dc2.txt dc-2 http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'使用burp去爆破,截取数据包,然后Ctrl+l之后根据下图修改 选择你的payload,分别导入用户字典和密码字典, 我的burp是专业版,可以跑多线程,设置多线程之后,可以很快的跑出来,线程加高,几秒跑出来了 登录后台
usernamepasswordtomparturientjerryadipiscing这两个密码登录成功 既然拿到了密码, 我们尝试去使用密码去尝试去反弹shell,创建失败,需要更高的权限
这里就不知道怎么去弄了,重新查看之前收集的数据,扫描全端口,发现了新的端口 nmap -p- -sV 192.168.248.154 发现了ssh端口,尝试我们得到的用户去登录 使用tom用户直接登录成功 发现-rbash 命令没有找到 查找绕过方法
BASH_CMDS[a]=/bin/sh;a $ /bin/bash bash: groups: command not found tom@DC-2:~$ export PATH=$PATH:/bin/ tom@DC-2:~$ export PATH=$PATH:/usr/bin参考链接:https://www.cnblogs.com/xiaoxiaoleo/p/8450379.html 查看flag3
查看passwd,发现jerry用户 尝试切换到jerry (这里我尝试直接登录jerry 显示权限被拒绝) 切换登录成功
查看目录发现flag4
sudo 查看 发现可以使用git命令,并且是可以是root权限不需要密码 继续百度,搜索git提权 命令:
git -p help !/bin/sh参考链接 https://gtfobins.github.io/gtfobins/git/#limited-suid
查看/root 拿到最后的flag
永远不要停下学习的脚步
