DC-2渗透测试 - fish666

DC-2

就是记住，当靶机变成NAT模式的时候，要重新启动！！！

kali 192.168.236.129

靶机 192.168.236.133

一、信息收集。

探测目标主机的ip

（前提确保攻击机有ip地址。）

查看靶机开放哪些端口。 是靶机的ip地址。

nmap -p- 192.168.236.133

开放2个端口。 80 7744

先访问80端口

重定向

浏览器提示找不到此网站，但IP是明确存在的（扫描确认过靶机），说明域名解析环节出现了问题。

但是发现访问不了，且发现我们输入的ip地址自动转化为了域名，我们想到dc-2这个域名解析失败，我们更改hosts文件，添加一个ip域名指向。

那我们就自己添加一下

添加的域名是啥呢？？？ 就是跳转失败的url地址栏上面域名写了。

/etc/hosts

耐心等待。

进入主页后开始查找东西。发现有flag。

关注他的提示。。wordpress

二、Web端渗透测试

wordpress

看到wordpress 就用dirsearch -u url 扫描一波

一看到 wordpress 就想到先用 wpscan 扫一波，来看看有什么插件漏洞

(dirsearch -u url 就行 -u 表明后面跟的是url)

flag1 里面是说让暴力破解的。

cewl 用于生成自定义密码字典工具

扫描出来的网站，可以都去访问一下

发现两个都是关于用户登录之类的

wpscan

wpscan 进行扫描 进行用户枚举

• wpscan - -url http://dc-2 获取版本信息
• wpscan - -url http://dc-2 - -enumerate p 扫描插件
• wpscan - -url http://dc-2 - -enumerate u 枚举用户

not update

更新一下 wpscan - - update

wpscan - -url http://dc-2/ -e u 枚举用户

成功！！！

• cewl http://dc-2/ > password.txt

  • cewl 网站关键词提取工具，生成自定义密码字典。

• wpscan - -url http://dc-2/ - -passwords password.txt

  • 用来爆破用户密码

发现这个。

登录。

jerry用户

提示，换一个切入点。

nmap -p- 192.168.236.129/24

-p- 扫描所有端口 1-65535

查看靶机开放了 80、7744端口。

注意分清楚靶机还是攻击机

还有7744端口没有被利用。用户tom还没用。考虑ssh

三、靶机的渗透测试

ssh tom@192.168.236.133 -p 7744

用ssh登陆成功后，首先查看一下我是谁whoami

? 发现没有这个命令。

rbash 啥东西？？？

rbash 是受限制的Bash shell，用来限制用户的操作权限。

有个rbash逃逸！！！（linux提权的一种）

echo $PATH 路径

//运行结果。 /home/tom/usr/bin

意味着你只能执行这个目录下的命令，且不能用 cd 切换到该目录）

echo /home/tom/usr/bin/*

查看能执行啥命令。

可以执行 less、ls、scp、vi 命令。

执行以后就能找到flag3啦啦哈哈哈哈哈

通过ssh协议远程登陆另一台计算机。

ssh 用户名@ip -p 端口

(指定要登录的目标主机的用户名和目标主机的ip)

用户jerry

su

正式开始rbash逃逸

可以

• 用vi 或 BASH_CMDS设置shell来绕过rbash，

• 然后在设置环境变量添加命令。

法一：

先vi

然后按住Esc，输入 :set shell=/bin/bash

后回车，接着输入

:shell

回车启动shell。

当看见退出vi编辑器后就说明成功了。

接着看权限。

已经升级为bash了，无法执行命令是因为环境变量的问题。添加路径就行。

成功！！！

su切换用户

查找flag文件

   find  / -name  *flag*

除了flag4.txt ，其他文件的权限都没有

git提权

suid提权

chmod u+s 名字 设置suid位

suid的话是以root权限在运行。

找一下具有suid权限的二进制文件

find / -user root -perm -4000 -print 2>/dev/null

感觉没啥能用的。

sudo -l 查看自己有哪些root权限。

（root）NOPASSWD: /usr/bin/git 核心。

用户jerry可以在DC-2这台机器上，以root身份执行/usr/bin/git命令，且不需要输入密码。

法一：

sudo git help config

回车然后输入

!/bin/bash

法二：

sudo git -p help

回车输入

!/bin/bash

提权成功！！！

成功！！！

四、总结

1、渗透测试基本思路差不多都是信息收集之类的。

2、/etc/hosts 域名和ip的对应关系

3、wordpress —> wpscan

• wpscan - -url http://dc-2/ -e u 枚举用户

4、cewl

• cewl http://dc-2/ > password.txt
• wpscan - -url http://dc-2/ - -passwords password.txt

5、注意分清楚靶机还是攻击机

6、ssh tom@192.168.236.133 -p 7744

ssh登录真的好常用啊。

7、提权

• rbash 提权
  • echo $PTAH echo /home/tom/usr/bin（路径）
  • vi :set shell=/bin/bash :shell
  • export PTAH=$PTAH:/bin/
  • export PATH=$PATH:/usr/bin/
• suid 提权
• git提权
  • sudo git help config
  • !/bin/bash