Vulnhub靶场渗透测试系列DC-2(wpscan使用和git提权)

靶机地址：https://www.five86.com/dc-2.html
下载靶机将其导入到VMware，然后设置网络模式为NAT模式，开启虚拟机

首先在kali机使用nmap扫描发现主机来获取靶机IP地址，如果扫不到的话需要对靶机进行一些网络设置，参考文章https://blog.csdn.net/qq_45722813/article/details/121324686
使用命令nmap -Pn 192.168.172.1/24，主机发现的扫描工具很多，我使用的nmap，我这里扫出来如下：

命令nmap -sV -Pn -p- -A 192.168.172.141扫描靶机操作系统，开放端口和对应服务等

发现靶机开启80端口对应Apache的http服务，还有个7744端口的ssh服务
然后在kali打开浏览器地址栏输入http://192.168.172.141访问网页

访问失败，因为本地对其域名不能进行解析，所以要修改hosts文件，命令vim /etc/hosts编辑hosts文件，将标记出来的这行加进去，IP是你靶机的IP地址，保存退出

再次访问靶机网页，可以打开，并发现了flag1

flag1提示我们可能需要使用cewl来爬取关键字（如用户名和密码）
Cewl是一款采用Ruby开发的应用程序，你可以给它的爬虫指定URL地址和爬取深度，还可以添额外的外部链接，接下来Cewl会给你返回一个字典文件，你可以把字典用到类似John the Ripper这样的密码破解工具中。除此之外，Cewl还提供了命令行工具。
命令 cewl -h 查看cewl的用法。
根据提示使用cewl来爬取密码。
现在我们使用命令cewl http://dc-2/ -w pass.txt来获取网站的可用密码，成功获取密码

现在密码有了，还需要用户名，我们从网页和源码中可以发现该网页是一个WordPress网站，所以使用wpscan来枚举网站可用用户名，命令wpscan --url http://dc-2 -e u，发现3个用户名admin，jerry和tom

然后将三个用户名写入一个文件dc-2user.list中

使用wpscan结合cewl产生的字典文件进行爆破

找到两个对应的用户名和密码
jerry: adipiscing
tom: parturient

现在用户名和密码都有了，然后使用工具进行目录爆破，找到网站登录页面

现在在浏览器地址栏输入http://dc-2/wp-admin/进入登录页面

使用刚才爆破到的用户名和密码进行登录先使用jerry和adipiscing登录

点击page图标，发现flag2

打开flag2可看到内容

这里flag2提示我们换一个入口，我们最开始扫描服务时发现还有一个7744端口，或许就是突破口，我们使用用户jerry和密码adipiscing，命令ssh jerry@192.168.172.141 -p 7744，发现不行

换一个用户，试试命令ssh tom@192.168.172.141 -p 7744使用用户tom和密码parturient进行连接成功

使用命令ls查看目录和文件，发现flag3.txt，使用命令cat flag3.txt查看文件内容，但是这个是一个rbash，即受限制的shell，只能使用一部分的命令操作

然后我们使用命令echo /home/tom/usr/bin/*查看tom可使用的命令有哪些，发现可以使用vi命令

使用vi编辑器查看文件内容，可以看到

flag3内容的提示我们应该使用jerry用户来登录，所以我们需要绕过受限制的shell，使用命令BASH_CMDS[a]=/bin/sh; a，然后输入/bin/bash就绕过了受限制的shell
学习如何绕过受限制的shell可以参考这篇文章：https://www.freebuf.com/articles/system/188989.html

然后添加环境变量，命令export PATH=$PATH:/bin/，并且现在可以直接查看flag3了

然后命令su jerry切换到jerry用户，输入密码adipiscing即可登录

然后使用ls查看文件和目录发现不行，跳转到/home目录下，ls查看文件和目录，发现了jerry目录，再进入到jerry目录下，ls发现flag4.txt文件

使用命令cat flag4.txt查看flag4.txt文件内容

根据flag4的提示这不是最后一个flag，并提示git，使用命令sudo -l查看命令的权限和可执行情况

git需要使用root用户权限执行，所以通过git缓冲区漏洞提权，使用git -h查看

使用这个几个命令试
sudo git -p --help
sudo git -p config
sudo git --help config
sudo git -p --help config
sudo git help config
出现可以输入内容时输入!/bin/bash即可提权，我这里使用sudo git help config成功的

直接在该页面输入!/bin/bash回车即可

回车即可看到提权成功

我一层一层地找flag，但是没找到然后使用命令cd跳到根目录下发现了final-flag.txt

使用命令cat final-flag.txt查看文件内容

到此5个flag全部找完

参考文章：
http://cn-sec.com/archives/115733.html
http://cn-sec.com/archives/204532.html

Vulnhub靶场渗透测试系列DC-2(wpscan使用和git提权)相关推荐

Vulnhub靶场渗透测试系列bulldog(命令注入和sudo提权)
Vulnhub靶场渗透测试系列bulldog(命令注入和sudo提权) 靶机地址:https://www.vulnhub.com/entry/bulldog-1%2C211/ 下载将其导入VMware ...
Vulnhub靶场渗透测试系列DC-7(跳出框框打开脑洞 drush更改drupal的admin账户密码)
Vulnhub靶场渗透测试系列DC-7(跳出框框打开脑洞 drush更改drupal的admin账户密码) 靶机下载地址:https://www.vulnhub.com/entry/dc-7,356/ ...
103.网络安全渗透测试—[权限提升篇1]—[Linux内核漏洞提权]
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录一.LINUX 内核漏洞提权 1.漏洞背景: 2.漏洞利用: (1)实验环境 (2)靶机链接 (3)突破MIME ...
kali渗透测试系列---信息收集
kali 渗透测试系列文章目录 kali 渗透测试系列信息收集信息收集信息收集阶段可以说是在整个渗透测试或者攻击很重要的阶段,毕竟知己知彼才能百战百胜,否则从目标主机使用的平台到数据库的使用再 ...
DC系列漏洞靶场-渗透测试学习复现（DC-1）
最近闲着冲浪玩发现了DC系列漏洞靶场(下载了8个靶场:DC-1到DC-8),从信息收集到最后拿到超级管理员权限,可以说几乎贯穿了渗透测试的每一步,寻找一个个flag,通过flag中的指引内容,帮助我们 ...
渗透测试php靶场,渗透测试靶场初体验
声明本文仅供学习和研究,由于传播.利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海青实验室及文章作者不承担任何责任. 安全狗海青实验室拥有此文章的修改和解释权,如欲转载 ...
Kali linux渗透测试系列————23、Kali linux 渗透攻击之服务器端攻击
漏洞评估服务器端攻击即找出并利用服务器上的服务.端口和应用程序中的漏洞.举个例子,Web服务器都有多个攻击途径(Attack Vector).它会运行一个操作系统,并运行各种各样的软件来提供Web功 ...
whoami靶场渗透测试
文章标题测试环境信息收集获取靶机ip 扫描端口扫描目录开始渗透文件下载漏洞获取数据库账号密码知晓sql注入绕过方式登录前端文件上传+包含漏洞getshell 失败的提权方法一:s ...
Kali linux渗透测试系列————24、Kali linux 渗透攻击之客户端攻击
客户端攻击客户端(client)或主机(host)是指用来上网的终端设备,比如计算机.平板电脑或是移动设备.客户端可能会为其他客户端提供信息.服务及应用,或是从其他系统(比如服务器)获取信息.通常, ...

Vulnhub靶场渗透测试系列DC-2(wpscan使用和git提权)

Vulnhub靶场渗透测试系列DC-2(wpscan使用和git提权)

Vulnhub靶场渗透测试系列DC-2(wpscan使用和git提权)相关推荐

最新文章

热门文章