媒介
博客主页:【h0ck1r丶羽】的公众号~~
本文重要解说了渗出测试中的完备渗出测试流程,重要先容了【wpscan】、【cewl】、【rbash逃逸】的使用本领,靶场为vulnhub的机器各人可以自行下载,如果文章哪有不对,还请师傅们留言指出,谢谢您。
环境预备
靶机下载所在:https://download.vulnhub.com/dc/DC-2.zip
攻击机:kali
网络:nat模式
靶机复现
nmap主机发现,192.168.209.166或者使用arp-scan -l
- nmap -sP 192.168.209.0/24
对扫描出的靶机举行全端口扫描
- nmap -sS -p- 192.168.209.166
我访问这个ip的时间,自动跳转到了http://dc-2
但是我加上这个ip之后404
index.php可以正常访问
那么应该就是host文件问题,修改hosts C:\Windows\System32\drivers\etc\hosts在行尾添加这一行内容
保存之后,再次访问首页,就可以正常访问靶场了
Flag1
"Your usual wordlists probably won’t work, so instead, maybe you just need to be cewl."
大抵意思就是你可能需要cewl这款工具
看目录扫描结果,这是一个wordpress网站,有一个后台界面wp-admin
sql注入万能暗码
拦截登录响应
登录失败
还有一些其他的测试方法,比如xss,弱口令都不可,这里我们就要用到cewl这个工具了
Cewl是一款采用Ruby开辟的应用程序,你可以给它的爬虫指定URL所在和爬取深度,还可以添额外的外部链接,接下来Cewl会给你返回一个字典文件,你可以把字典用到类似John the Ripper这样的暗码破解工具中。除此之外,Cewl还提供了命令行工具。
我们将扫描结果重定向到passwd.txt(就是保存文件或者使用cewl的自带的-m参数)
使用wpscan罗列可能的用户名
WPScan是一个扫描 WordPress 漏洞的黑盒子扫描器,它可以为全部 Web 开辟职员扫描 WordPress 漏洞并在他们开辟前找到并办理问题。
一共扫描出来三个用户admin,jerry,tom可以使用
此时我们已经有了用户名和暗码字典
使用wpscan爆破账号暗码,指定刚刚我们天生的用户字典users.txt和暗码字典passwd.txt
爆破成功,结果如下
- jerry / adipiscing
- tom / parturient
来登录
成功
在旁边导航栏找到了Pages,即可得到flag2
这提示跟没提示一样
- If you can't exploit WordPress and take a shortcut, there is another way.Hope you found another entry point.
文件上传
上传一个php文件,被禁止了
只能上传图片文件,我找了半天也没找到文件包罗漏洞的地方
文件后缀爆破,也全部失败了
系统渗出
换思绪我们之前端口扫描的时间有一个7744端口,不知道是什么服务,百度也搜不出来
用ssh默认22端口是拒绝服务的,指定一下7744端口的时间既让让我们输入暗码,那这个就是ssh服务端口了
第一个用户测试失败
第二个用户,登录成功
命令被限定了'rbash'
什么是rbash?它与一样平常shell的区别在于会限定一些举动,让一些命令无法执行,这里就让我的cat、clear、su等等命令举行了限定
查看可用的命令
滑到最下面,有一个vi命令
flag3.txt内容:可怜的老Tom总是追着Jerry跑。也许他应该为自己造成的压力而死。---网易有道
- Poor old Tom is always running after Jerry. Perhaps he should su for all the stress he causes.
我们去/etc/passwd,看看能不能添加一个”root“用户,看样子不可了,你也可以直接查看这个文件的权限,这里我就不掩饰了
去home,cd 并不能直接使用,但是有一个 ls
直接找到了flag4
告诉我们使用git脱离这里,应该就是让我们用git提权
查看文件所属,是jerry的,这里直接跳过吧,找到就好,没什么作用了
我们看看刚刚的flag3.txt,所属用户为tom
那么就用它提权试试
执行:shell
这里直接"提权"成功了
但是没什么作用哈,root目录也切换不了
查看环境变量
rbash逃逸
我们通过修改环境变量,之后使用jerry / adipiscing登录
- tom@DC-2:~$ export PATH=$PATH:/bin/ # 直接添加环境变量
- rbash: PATH: readonly variable # rbash
- tom@DC-2:~$ BASH_CMDS[a]=/bin/sh;a # 把/bin/sh给a
- $ /bin/bash
- tom@DC-2:~$ su # 这里修改了BASH_CMDS的值后并不能直接使用su命令
- bash: su: command not found
- tom@DC-2:~$ export PATH=$PATH:/bin/ # 添加环境变量
- tom@DC-2:~$ su jerry # su 正常使用
- Password:
- jerry@DC-2:/home/tom$
此时我们是jerry权限,照旧进不去root
查看当前suid可用命令
- find / -perm -u=s -type f 2>/dev/null
这里有一个sudo可以用,rbash逃逸中的必要条件
git提权
- sudo git help config
- !/bin/bash 或 !'sh' #完成提权
- # 或者
- sudo git -p help
- !/bin/bash #输入!/bin/bash 即可打开一个用户为root的shell
ok完成dc-2靶机
总结
本文详细先容了利用Kali Linux对Vulnhub的DC-2靶机举行渗出测试的过程。通过nmap发现靶机及开放端口,利用cewl和wpscan工具天生字典,并成功爆破WordPress后台账号暗码。面临rbash限定,通过环境变量修改实现逃逸,并利用git和sudo提权获取root权限。整个流程覆盖了信息网络、漏洞利用、权限提升等多个阶段,展示了全面的渗出测试本领。
往期推荐
Love-Yi情侣网站存在sql注入漏洞
DC-1综合渗出从外网打到内网,msf后渗出,权限提升,入侵痕迹清除,绝对干货!
Linux中Find命令也能提权?提权方式一文通透
喜欢长文吗?1w字图文带你相识sqlmap,从0到1,WAF绕过,高级用法一文通透
【kali条记】 Kali Shell编程从根本到进阶
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
