攻防靶场(23)：DC-2

1. 侦查

1.1 收集目标网络信息：IP地址

启动靶机后，没有提供IP地址， 需要自己扫描获取

由于攻击机和靶机在同一个C段，可以扫描ARP协议获取IP地址

1.2 主动扫描：扫描IP地址段

扫描端口和服务，发现80/http和7744/ssh

1.3 主动扫描：字典扫描

扫描目录，发现网站是wordpress

访问http://10.58.81.141/，会301跳转到http://dc-2/，但域名无法解析

在/etc/hosts中添加域名解析后，成功打开http://dc-2/

1.4 搜索目标网站

浏览网站，发现靶机作者提示使用cewl进行信息收集

使用cewl收集到一批字典

3. 初始访问

3.1 有效账户：默认账户

将cewl收集的字典作为密码，结合wpscan扫描到的帐号进行爆破，获得2个WordPress的有效账户

3.2 有效账户：默认账户

密码喷洒攻击，将有效账户在SSH平台尝试登录，获得tom用户的权限

4. 执行

4.1 命令和脚本解释器：Unix Shell

当前是受限环境，能使用的命令只有less、ls、scp、vi

其中less、scp、vi均可用于受限hsell逃逸，但只有vi逃逸成功

6. 权限提升

6.1 有效账户：默认账户

前面WordPress的jerry账户，虽然不能登录SSH，但在SSH中能su切换过去

6.2 滥用特权控制机制：Sudo和Sudo缓存

jerry用户能以root权限执行git命令，而该命令可用于提权，从而获得root权限

7. 攻击路径总结

公众号后台回复“20241027”获取思维导图的.xmind源文件