文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
靶机概览
详情介绍请参考下载地址
任务目标:拿下5个flag
下载地址:https://www.vulnhub.com/entry/dc-2,311/
靶机界面:
信息收集
由于我这里采用了NAT,所以很容易确定目标机器,如果你的网络环境里有众多机器,并且系统版本与靶机相似,且不方便更换连接虚拟机的方式,你可以先查看一下DC2的MAC,这样做主机发现时可以通过MAC来过滤靶机。
nmap信息收集
1:使用nmap作网段的主机发现,确定靶机地址是192.168.40.137
2:继续使用nmap对靶机做进一步探测,发现靶机开启了80和7744(SSH)端口,先从80端口打开局面
3:访问网站,发现URL栏写的不是靶机的ip,而是http://dc-2/,而很明显,DNS没有解析出来
4:回过头来注意到nmap扫描时有这样一个提示,基本可以确认需要手动配置hosts文件
5:配置hosts文件
(1)kali修改hosts
sudo vim /etc/hosts
(2)windows修改hosts
C:\Windows\System32\drivers\etc\hosts
6:再次访问网站
网站信息收集
Flag1
登录网站直接拿到Flag1,页面给出了一些线索
线索的大致意思如下
cewl是个啥,百度一下,是一款以爬虫模式在指定URL上收集单词的工具,可以将它收集到的单词纳入密码字典,以提高密码破解工具的成功率
爬站
试了一下,发现kali集成了cewl,那就直接干,生成的字典有239行
目录扫描
目录扫描的工具很多,由于靶机的网站页面是wordpress,所以选择wpscan来扫目录
1:先更新一下wpscan
wpscan --update
2:简单扫描一下
wpscan --url dc-2
好想没什么有价值的信息
列出站点的用户名、账号
wpscan换一种用法,列出站点的用户名、账号
wpscan --url dc-2 -e u
发现了3个账户
渗透攻击
爆破后台
访问wordpress默认后台/wp-login.php,找到后台登录界面
爆破的话需要用户名字典,很明显,就是admin,jerry和tom那三个用户,密码字典则是刚拿下flag1爬站时生成的pwd.dic字典,工具这里选择使用wpscan了
命令:
wpscan --url dc-2 -U user.txt -P pwd.dic
爆出了两个账户
Username: jerry, Password: adipiscing
Username: tom, Password: parturient
访问网站
登录tom没发现有意思的信息,登录jerry发现了有趣的信息
Flag2
先来看一下flag,显示的是flag1的内容
再来看一下flag2
爆破ssh
使用如下命令,-s是指定端口,因为ssh端口被修改为7744
hydra -L user.txt -P pwd.dic ssh://192.168.40.137 -s 7744 -o hydra.ssh -vV
爆出了tom的密码
login: tom password: parturient
登录ssh
注意,由于靶机的ssh不是22,所以需要指定端口
ssh tom@192.168.40.137 -p 7744
发现了flag3,但是由于自己用的是rbash,所以无法使用cat命令,需要绕过rbash限制
绕过rbash拿flag3
绕过rbash
BASH_CMDS[a]=/bin/sh;a
/bin/bash
添加环境变量
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
拿到flag3,现在线索引向了jerry,并提示使用su,拿就是切换用户啊
拿下jerry拿下flag4
查看一下/etc/passwd确实看到了jerry,但是我们只有web下jerry的账户密码,而没有爆出靶机系统下jerry的账户密码,那只能拿web密码来蒙一下了。
使用jerry的web密码adipiscing成功登入jerry的账户,并直接拿下flag4。根据提示,还剩最后一个flag,看这意思是需要进到root家,flag5极大概率在root家里,最后暗示了一下git
提权
先查看一下自己能不能免密使用一些root级别的命令,恰好发现了git
git提权
输入如下命令,会强制进入交互状态
sudo git -p --help
再调用bash
!/bin/bash
现在就能以root身份执行命令了
flag5
323
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
