前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Vulnhub渗透测试:DC-3

Vulnhub渗透测试:DC-3

作者头像
ly0n
发布2020-11-04 11:10:00
7650
发布2020-11-04 11:10:00
举报
文章被收录于专栏:ly0n

说明

​ 由于最近一段时间都在准备大二上学期推迟的期末考试,所以导致安全方面的学习的文章没有持续更新,对于内网渗透来说,我还是比较喜欢搞的,一是知识点概括比较全,能够让自己在渗透的同时学到很多的东西。也能够极大的扩充自己的想法,有兴趣的可以玩玩。这篇文章主要就是为了记录在DC-2的渗透过程中的所有步骤,如果有什么地方出错,还请师傅们斧正。

环境安装

DC-2靶机下载 下载完成后将.ova文件导入到虚拟机内,网卡配置为NAT模式

攻击机Kali IP:192.168.117.128 DC-2 IP: 192.168.117.131

在测试前要注意的一点是我们要在本地的hosts的文件夹下将DC-2的IP添加进去。 目录为:C:\Windows\System32\drivers\etc 添加一条如下图

信息收集

使用nmap来进行扫描存活ip

代码语言:javascript
复制
nmap -sP 192.168.117.0/24

看到有存活ip 192.168.117.131 接下来扫描端口查看端口开放情况

可以看到DC-2上开启了80,7744端口,80端口存在web服务,所以我们可以直接访问,看到7744端 口的服务ssh,我们知道平常默认的ssh服务的端口是22,我们先来看下80端口下的服务。 打开之后我们看到的是一个wordpress的站点,在前端页面上我们看到了flag1.

我们可以看到里面的提示,大致意思是 你通常的单词表可能不起作用,所以,也许你只需要成为 cewl。密码越多越好,但有时你不可能全都赢。以个人身份登录以查看下一个标志。如果找不到, 请以另一个身份登录。看到这个提示我们肯定知道要进行登录,对于wordpress模板来说我相信大家 应该是挺熟悉的,我们要登陆的肯定要去找他的后台登陆界面。对于wordpress比较熟悉,或者说靶 场建造时没有对后台登录页面进行更改名字。如果是这样我们可以直接猜到后台管理登录界面 wp-login.php 如果我们对wordpress站点不太熟悉的时候或者后台管理页面被重命名时,我们可以通过nikto工具来 进行扫描网站的结构

进入到后台登录界面

开始攻击

生成用户列表

工具介绍,在下面的攻击中我们所使用到的wpscan工具,在这里详细介绍一下。

wpscan是一个扫描 WordPress 漏洞的黑盒子扫描器,可以扫描敏感文件、获取站点用户名,获取安装的所有插件、主题,以及存在漏洞的插件、主题,并+提供漏洞信息。 参数: –url 扫描网站 -e 枚举 u 枚举用户名,默认从1-10 p 枚举插件 t 枚举主题信息 例: wpscan –url dc-2 –enumerate vp #扫描易受攻击的插件 wpscan –url dc-2 –enumerate vt #扫描易受攻击的模板 wpscan –url dc-2 -P pwd.txt -U admin #爆破用户密码 wpscan -h //帮助

我们使用wpscan工具去生成用户名列表

wpscan –url dc-2 -e u

扫描得到如下结果

得到了三个用户 admin tom jerry

生成密码字典

根据提示我们已经知道我们要进行后台登录,所以我们下面要做的就是获取这几个账户的密码,看 哪一个账户可以登录。但是我做到这的时候有点懵了,经过一个师傅提示,在flag1里的英文中有一 个是工具的名字,认真看了下,发现了cewl。关于这个工具也具体说一下。

Cewl是以爬虫模式在指定URL上收集单词的工具,并将其制作成密码字典,以提高密码破解工具的成功率。有点撞库的意味 使用:cewl url -w xxx.dic

使用命令 sudo cewl dc-2 -w dc-2.dic得到

爆破密码

然后我们使用上面说到的工具wpscan来爆破用户的密码 wpscan –url dc-2 -P dc-2.dic -U admin

看到admin账户没有找到密码 再扫描另外两个账户分别得到密码

tom 密码 parturient jerry 密码 adipiscing

然后进行登录,发现jerry账户成功登陆。发现了flag2

绕过shell限制

看到flag2的提示,我们需要另外找方法去继续进行下面的渗透,想起来上面我们看到了一个7744的 端口是ssh服务,又加上我们爆破出了tom和jerry两个账户的密码,我们可以尝试使用这两个用户来 进行ssh连接。 我们使用tom账户ssh成功连接。但是出现了rbash的错误,我们要绕过shell的限制。

看到我想利用python来获取一枚bash,结果可想而知。 百度知道了绕过shell的方法

BASH_CMDS[a]=/bin/sh;a #调用/bin/sh解释器/bin/bash export PATH=PATH:/bin/ #配置环境变量 export PATH=PATH:/usr/bin

得到flag3.txt

根据提示我们可以换一下jerry用户,我们在上面已经得到了他的密码,使用su jerry然后输入密码即 可,得到flag4.txt

提权

我们看到的内容,使用git目录来获取flag

git 提权

sudo -l sudo git help config 然后输入 !/bin/sh 来进行提权 可以看到提权成功

既然都到root了就更改下密码吧

passwd root 更改密码

然后在虚拟机里登录DC-2.

参考链接

shell限制绕过:https://blog.csdn.net/qq_38677814/article/details/80003851 git提权:https://www.cnblogs.com/zaqzzz/p/12075132.html#3git%E6%8F%90%E6%9D%83

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2020-09-18,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 说明
  • 环境安装
  • 信息收集
  • 开始攻击
    • 生成用户列表
      • 生成密码字典
        • 爆破密码
          • 绕过shell限制
          • 提权
            • git 提权
            • 参考链接
            相关产品与服务
            网站建设
            网站建设(Website Design Service,WDS),是帮助您快速搭建企业网站的服务。通过自助模板建站工具及专业设计服务,无需了解代码技术,即可自由拖拽模块,可视化完成网站管理。全功能管理后台操作方便,一次更新,数据多端同步,省时省心。使用网站建设服务,您无需维持技术和设计师团队,即可快速实现网站上线,达到企业数字化转型的目的。
            领券
            问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档