Vulnhub渗透测试:DC-2

ly0n

发布于 2020-11-04 11:35:20

9020

发布于 2020-11-04 11:35:20

文章被收录于专栏：ly0nly0n

说明

由于最近一段时间都在准备大二上学期推迟的期末考试，所以导致安全方面的学习的文章没有持续更新，对于内网渗透来说，我还是比较喜欢搞的，一是知识点概括比较全，能够让自己在渗透的同时学到很多的东西。也能够极大的扩充自己的想法，有兴趣的可以玩玩。这篇文章主要就是为了记录在DC-2的渗透过程中的所有步骤，如果有什么地方出错，还请师傅们斧正。

环境安装

DC-2靶机下载下载完成后将.ova文件导入到虚拟机内，网卡配置为NAT模式

攻击机Kali IP:192.168.117.128 DC-2 IP: 192.168.117.131

在测试前要注意的一点是我们要在本地的hosts的文件夹下将DC-2的IP添加进去。目录为：C:\Windows\System32\drivers\etc 添加一条如下图

信息收集

使用nmap来进行扫描存活ip

nmap -sP 192.168.117.0/24

看到有存活ip 192.168.117.131 接下来扫描端口查看端口开放情况

可以看到DC-2上开启了80,7744端口，80端口存在web服务，所以我们可以直接访问，看到7744端口的服务ssh，我们知道平常默认的ssh服务的端口是22,我们先来看下80端口下的服务。打开之后我们看到的是一个wordpress的站点，在前端页面上我们看到了flag1.

我们可以看到里面的提示，大致意思是你通常的单词表可能不起作用，所以，也许你只需要成为 cewl。密码越多越好，但有时你不可能全都赢。以个人身份登录以查看下一个标志。如果找不到，请以另一个身份登录。看到这个提示我们肯定知道要进行登录，对于wordpress模板来说我相信大家应该是挺熟悉的，我们要登陆的肯定要去找他的后台登陆界面。对于wordpress比较熟悉，或者说靶场建造时没有对后台登录页面进行更改名字。如果是这样我们可以直接猜到后台管理登录界面 wp-login.php 如果我们对wordpress站点不太熟悉的时候或者后台管理页面被重命名时，我们可以通过nikto工具来进行扫描网站的结构

进入到后台登录界面

开始攻击

生成用户列表

工具介绍，在下面的攻击中我们所使用到的wpscan工具，在这里详细介绍一下。

wpscan是一个扫描 WordPress 漏洞的黑盒子扫描器，可以扫描敏感文件、获取站点用户名，获取安装的所有插件、主题，以及存在漏洞的插件、主题，并+提供漏洞信息。参数： –url 扫描网站 -e 枚举 u 枚举用户名，默认从1-10 p 枚举插件 t 枚举主题信息例： wpscan –url dc-2 –enumerate vp #扫描易受攻击的插件 wpscan –url dc-2 –enumerate vt #扫描易受攻击的模板 wpscan –url dc-2 -P pwd.txt -U admin #爆破用户密码 wpscan -h //帮助

我们使用wpscan工具去生成用户名列表

wpscan –url dc-2 -e u

扫描得到如下结果

得到了三个用户 admin tom jerry

生成密码字典

根据提示我们已经知道我们要进行后台登录，所以我们下面要做的就是获取这几个账户的密码，看哪一个账户可以登录。但是我做到这的时候有点懵了，经过一个师傅提示，在flag1里的英文中有一个是工具的名字，认真看了下，发现了cewl。关于这个工具也具体说一下。

Cewl是以爬虫模式在指定URL上收集单词的工具，并将其制作成密码字典，以提高密码破解工具的成功率。有点撞库的意味使用：cewl url -w xxx.dic

使用命令 sudo cewl dc-2 -w dc-2.dic得到

爆破密码

然后我们使用上面说到的工具wpscan来爆破用户的密码 wpscan –url dc-2 -P dc-2.dic -U admin

看到admin账户没有找到密码再扫描另外两个账户分别得到密码

tom 密码 parturient jerry 密码 adipiscing

然后进行登录，发现jerry账户成功登陆。发现了flag2

绕过shell限制

看到flag2的提示，我们需要另外找方法去继续进行下面的渗透，想起来上面我们看到了一个7744的端口是ssh服务，又加上我们爆破出了tom和jerry两个账户的密码，我们可以尝试使用这两个用户来进行ssh连接。我们使用tom账户ssh成功连接。但是出现了rbash的错误，我们要绕过shell的限制。