RickkCity
0%

dc2

发表于 更新于 分类于

渗透测试课程的一个靶机

开启攻击机和靶机,靶机网络适配器调整为NAT模式

照例先扫描

扫描到靶机ip为192.168.80.164,开放端口80,7744服务分别为HTTP和ssh

注释截图

尝试访问网页发现失败,但是地址栏变为dc-2

注释截图

于是尝试修改hosts文件实现名称解析

修改后可以访问网站,在网站中找到flag1

注释截图

flag1提示说使用cewl工具,先进行网站目录扫描

扫描得到两个目录

注释截图

访问wp-includes目录

注释截图

一眼没有看到什么有用的信息,继续扫描缩小范围

1
2
dirb http://192.168.80.164 -X .php
-X:搜索特定后缀的文件

注释截图

注意到有一个login.php,使用wpscan扫描网站枚举网站账户信息

1
wpscan --url http://dc-2 -e u

得到admin,Jerry,tom三个账号

注释截图

把这三个账号放到一个字典中

注释截图

根据flag1的提示通过cewl生成密码

注释截图

使用wpscan爆破

1
wpscan --url 192.168.80.164 user.dic -P pass.dic

得到密码

注释截图

登录jerry账户发现flag2

注释截图

根据flag2的提示用tom账户进行ssh连接

注释截图

tom用户的默认shell为rbash,无法执行系统指令,进行绕过

1
2
BASH_CMDS[a]=/bin/sh;a
这个命令的含义是将 /bin/sh 这个 shell 程序赋值给 BASH_CMDS 数组中的索引 a。然后,通过 ;(分号),将另一个命令 a 添加到 BASH_CMDS 数组的索引 a 中。

执行绕过后找到flag3

注释截图

根据flag3的提示切换至jerry账户

得到flag4

注释截图

-------------本文结束下次再见-------------

欢迎关注我的其它发布渠道