type
status
date
slug
summary
tags
category
icon
password
0x00 渗透环境介绍
前面通过渗透DC-1,这次我们来研究一下DC-2系列
多的就不说了,开干
0x01 信息收集
1)第一步还是需要获取到目标IP地址,靶机与本机环境在同一个,使用扫描域内存活主机
获取到IP地址为 192.168.213.140
2)端口扫描
全端口扫描
3)目录扫描 1.御剑
也可以使用kali的dirb http://dc-2
发现了一个主页目录
进去看一下,一个新的web页面,供下一步研究,继续我们信息收集
4)web页面信息收集--url重定向--发现flag
我们直接去80端口查看页面,发现IP无法直接到达,get地址给我们返回了一个地址信息,想到url重定向
如何去配置了host文件后,web页面可以正常访问,然后进行web页面的信息收集
并且发现了flag-1
翻译flag1提示信息-----
你通常的单词列表可能不起作用,所以相反,也许你只需要被割除。 更多的密码总是更好,但有时你只是不能赢得他们所有。以一个登录以查看下一个标志。 如果找不到,请以其他身份登录。提示我们需要使用CeWL工具
web页面收获到服务器的版本---apache 2.4.10
0x02 渗透测试攻击
1)首先给网站来一个用户枚举 利用wpscan对网站用户进行枚举
wpscan 是一款漏扫工具 扫描网站,爆破账户 密码 kali可以直接使用
2)flag提示我们通过常规密码字典爆破无法破解密码,提示我们使用cewl(彩虹表)
cewl根据网站地址随机生成爆破密码到文档作为字典
3)wpscan配合密码字典爆破-指定账户字典与密码字典(注意账户字典内格式)
4)获得账户密码第一件事肯定去登录后台
通过kali目录扫描网站获取后台地址---http://dc-2/wp-login.php
通过尝试可以登录tom与je的账户,在里面获取到flag2
flag2提示:7744端口ssh---使用tom登录 je无法登录
通过命令使用发现被做了命令使用限制 (-rbash限制)
查看只能使用一些命令
在登录后ls发现了flag3,但是由于命令限制无法查看,这里补充一个kali查看命令的合集
head文件前十行 tail:文件后十行 more :分页查看 less:逐行查看 vi:查看
通过less逐行查看获取到了flag3的信息内容--tom受限制,突破点在切换用户
0x03 权限提升
定义关联形数组a的值为sh命令位置
通过a调用命令
重新定义path路径获取更多命令
获取到flag4----提示git提权
查看当前用户
sudo -l---查看用户可执行权限--发现sudo git----查询suid提权网站
获取root权限shell----发现终极flag
0x04 补充
suid命令提权查询:https://gtfobins.github.io/gtfobins/git/查找系统上运行的所有SUID可执行“文件”。find / -user root -perm -4000 -print 2>/dev/nullfind / -perm -u=s -type f 2>/dev/nullfind / -user root -perm -4000 -exec ls -ldb {} \;
- 作者:告白
- 链接:https://www.gbsec.top/article/%E6%B8%97%E9%80%8FDC-2-suid%E6%8F%90%E6%9D%83
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章