文章目录
- 一、环境搭建
- 1.环境描述
- 靶场描述
- 题目表述概括(目标)
- 2.靶场下载
- 下载地址
- 3.环境启动
- 二、渗透靶场
- 1.信息收集:寻找靶机IP
- 分析
- nmap扫描存活主机
- 2.信息收集:服务和端口探测
- 命令解析
- 3.访问Web
- 跳转问题
- 解决办法
- hosts文件路径
- 发现flag1
- 4.cewl 密码字典生成
- 用法
- 5. whatweb判断有无web模板
- 发现模板
- 6.wpscan渗透测试
- 工具简介
- 枚举用户
- 爆破密码
- 7.登录Web
- dirb扫描登录页
- 发现flag2
- 分析
- 8.ssh连接
- 注意
- 分析
- 发现flag3
- 9.权限提升
- 查看现有权限
- 发现与分析
- BASH_CMDS简介
- 发现flag4
- 查看sudo可以使用的权限
- 用git进行提权
- 发现flag5
- 三、相关资源
一、环境搭建
1.环境描述
靶场描述
Much like DC-1, DC-2 is another purposely built vulnerable lab for the
purpose of gaining experience in the world of penetration testing.As with the original DC-1, it’s designed with beginners in mind.
Linux skills and familiarity with the Linux command line are a must,
as is some experience with basic penetration testing tools.Just like with DC-1, there are five flags including the final flag.
And again, just like with DC-1, the flags are important for beginners,
but not so important for those who have experience.In short, the only flag that really counts, is the final flag.
For beginners, Google is your friend. Well, apart from all the privacy
concerns etc etc.I haven’t explored all the ways to achieve root, as I scrapped the
previous version I had been working on, and started completely fresh
apart from the base OS install.
题目表述概括(目标)
解释:DC2和DC1一样,找到5个flag
2.靶场下载
下载地址
https://www.vulnhub.com/entry/dc-2,311/
3.环境启动
1.解压文件
2.在VMware中打开ova文件
3.接下来选择你想导入的路径,进行导入即可
4.注意 遇到这种报错可以忽略,点击重试继续导入
5.开启DC-2后,显示出登录界面就证明环境基本搭建好了
6.网络设置,要与攻击机kali在同一网段,要么都用NAT模式,要么都用桥接模式(我这里用是是NAT模式)
二、渗透靶场
1.信息收集:寻找靶机IP
分析
NAT网段在192.168.1.0/24,所以扫描此网段
nmap扫描存活主机
nmap -sP 192.168.1.0/24
2.信息收集:服务和端口探测
nmap -sV -p- -T5 192.168.1.103
命令解析
- -sV 探测详情信息
- -p- 探测所有端口
- -T5 加线程 加快扫描速度
3.访问Web
跳转问题
使用IP地址访问后,发现跳转到http://dc-2
解决办法
在hosts文件写入对应关系
hosts文件路径
/etc/hosts
再次访问
发现flag1
提示我们要用cewl工具进行密码字典的生成
4.cewl 密码字典生成
先按提示生成一份密码字典文件备用
用法
cewl [目标地址] > [要生成的字典文件名]
cewl http://dc-2 > 1.txt
5. whatweb判断有无web模板
发现模板
发现模板是WordPress 版本号4.7.10
6.wpscan渗透测试
工具简介
WPScan是一个开源的网络安全工具,专门用于发现WordPress网站中的安全漏洞。
枚举用户
wpscan --url http://dc-2 -e u
命令解析
- –url 目标地址
- -e u e是–enumerate的简写 加上参数u用于枚举用户
枚举出两个用户jerry和tom
爆破密码
使用生成的字典尝试爆破出密码
wpscan --url http://dc-2 --passwords 1.txt
命令解析
- –url 指定目标
- –passwords 爆破密码模式
- 1.txt 爆破密码所用字典文件
成功爆破到用户名和密码
[SUCCESS] - jerry / adipiscing
[SUCCESS] - tom / parturient
7.登录Web
dirb扫描登录页
发现flag2
提示从另外一个点进入
分析
通过另外一个点联想到扫出来的服务还有ssh,现在账号密码都有了尝试连接
8.ssh连接
注意
因为此ssh不是默认端口,连接时记得加上端口号
分析
测试后发现:jerry用户的ssh是拒绝登录的,tom可以正常登录
发现flag3
这个提示貌似没什么用…
9.权限提升
查看现有权限
命令解析:
因为可执行命令存在环境变量中,所以查看环境变量路径下的文件
发现与分析
-
只有4个命令可以使用,没有sudo超级管理权限,考虑切换用户
-
但切换用户需要su命令
-
在这里用列表元素执行/bin/sh来绕过rbash
BASH_CMDS简介
BASH_CMD通常不是一个标准的环境变量。不过,如果你在某些脚本或配置文件中看到BASH_CMD,它可能是一个自定义的环境变量,用于存储一个bash命令或者命令的路径。这个变量的具体含义和用途取决于它在脚本或配置中的上下文。
命令解释:
export 用于添加环境变量,su在/bin目录下,所以添加/bin目录
发现flag4
提示用git提权
查看sudo可以使用的权限
用git进行提权
让sudo在git中处于等在状态,再套一层/bin/sh 即可
发现flag5
三、相关资源
https://www.vulnhub.com/entry/dc-2,311/
最后,附上博主总结的此关提权思维导图
链接:https://pan.baidu.com/s/1PXGzwno4KdEKoCPCF5DXlA
提取码:pqrq
–来自百度网盘超级会员V1的分享