文章目录
前言
之前进行了DC-1的攻略有兴趣的可以点击去看一下
提示:以下是本篇文章正文内容,下面案例可供参考
DC-2 教程
简单介绍:这次的靶机渗透是一个找寻DC-2靶机中的flag的过程,以最终的flag为目标。
1.确定目标IP,以及端口号
通过nmap -sP扫描网段最终确定IP为192.168.48.132,端口号开放80、7744。
2.进入登陆界面
1)看到目标开放80端口,我们通过浏览器输入IP地址尝试访问对方80.
2)输入IP后发现无法访问并返回一个域名,经验证才发现需要设立本地hosts文件ip地址对应域名。才可以成功访问
3)成功访问:确定CMS是wordpress
WordPress是一种使用PHP语言和MySQL数据库开发的博客平台,get CMS
3.查看flag并进行下一步操作
**点击页面上的flag,发现了flag1,给出的提示是:需要使用cewl工具破解密码,用一个身份登录后,能找到下一个flag。所以接下来会用到cewl工具破解密码。使用cewl破解密码前,要先找到该页面的后台登录地址,所以我们使用目录扫描工具dirb,扫出来目标登陆地址为:http://dc-2/wp-admin/ **
4.进行用户账号密码收集。
根据上一步提示,需要我们用cewl,cewl生成的字典是用来破解密码的。但是我们还没有账户信息,所以需要借助wpscan工具来扫描出后台登录的用户名,还可以借此爆破密码
命令:wpscan --url http://dc-2/wp-admin/ -e u
扫描出来的结果发现对方有两个账户jerry和tom,我们用cewl生成与url相关的密码,并保存为文本,再继续用wpscan对该登录界面进行爆破。
用wpscan进行爆破。这里需要两个文件,一个user.txt–内容为刚才的用户名jerry和tom。一个为cewl生成的字典文件pass.txt。
wpscan爆破命令:wpscan --url http://dc-2 -U 存放用户名文件 -P 存放密码字典文件。
找到账号密码,我们用账号和密码登陆一下,发现成功登陆。
并且在这里可以找到第二面旗子
5.另一种登陆方法——SSH-7744
第二面旗子的翻译是这样:
标志2:
如果你不能利用WordPress并走捷径,还有另一种方法。
希望你能找到另一个切入点。
1)另一个切入点,扫描端口时的另一个端口:7744(ssh)
我们通过ssh远程登录,最终TOM用户登陆成功
6.提权操作
为什么要提权?因为在该用户SSH界面中,用户的shell命令是被限制的,比如不能tab补齐,没有vim,cat等命令。
从上图中发现 -rbash 是受限制的命令,搜搜 -rbash,发现是可以绕过的,开始操作。
1)我们首先看一下我们能输的命令有哪些:
·命令:ls /home/tom/usr/bin
发现只有四个命令可以输入。
BASH_CMDS是系统中默认的命令字数组
2)修改$PATH
其中我们利用BASH_CMDS[a]=/bin/sh
通过数组调用/bin/sh
发现可以输出$PATH
修改$PATH ($PATH指明命令的路径存放位置)
此时我们发现可以查看flag3了 ·命令为cat flag3.txt
flag3显示让我们去切换到jerry
3)切换到jerry
我们切换到jerry后,发现有个flag4,查看后看来还不是最终的答案。
提示还不是最终的flag,提示git,查看sudo配置文件,发现git是root不用密码可以运行,搜索git提权
4)进行提权,提权成功
使用 sudo git -p help 且一页不能显示完,
在最底下面输入 !/bin/bash,
!/bin/bash是指此脚本使用/bin/bash来解释执行。
最后完成提权。
文章到此结束,看到最后的小伙伴还请一键三连!谢谢。
参考:
https://blog.csdn.net/weixin_45116657/article/details/101377121
https://www.anquanke.com/post/id/173159
https://blog.csdn.net/weixin_42712876/article/details/84227651
https://blog.csdn.net/qq_23143555/article/details/80266937
https://www.runoob.com/linux/linux-comm-sudo.html