vulnhub靶场之DC-2

发布时间:2024年01月12日

一.环境搭建

1.靶机描述

与DC-1非常相似,DC-2是另一个专门建造的易受攻击的实验室,目的是在渗透测试领域获得经验。

与最初的DC-1一样,它的设计考虑到了初学者。

Linux 技能和对 Linux 命令行的熟悉是必须的,对基本渗透测试工具的一些经验也是必须的。

就像DC-1一样,有五个标志,包括最后一个标志。

2.下载地址

DC: 2 ~ VulnHub

image-20231013214402559

3.启动环境

image-20231013214451769

4.设置网卡为nat模式

image-20231013214559611

虚拟机开启之后界面如下(和1一样),我们不知道ip,需要自己探活,网段知道:192.168.52.0/24

image-20231013214714255

二.渗透靶场

1.信息收集

寻找真实的靶场ip

image-20231013214909426

Kali ip为192.168.52.152

所以分析可得靶机ip为192.168.52.131

2.探端口以及服务

image-20231013215059360

image-20231013215130572

发现开放了80端口,存在web服务,Apache/2.4.10,

发现开放了7744端口,开放了ssh服务,OpenSSH 6.7p1

3.进行访问端口

我们访问:http://192.168.52.131

image-20231013215316817

本地访问不了会自动跳到DC-2。应该是给重定向了!我们想到dc-2这个域名解析失败,我们需要更改hosts文件,添加一个ip域名指向。

修改hosts文件,添加靶机IP到域名dc-2的指向

image-20231013215523485

image-20231013215452669

添加完成之后,再次访问,访问成功(我们使用kali里面的浏览器)

image-20231013215834927

根据wappalyzer插件可知当前运行的是一个wordpress的站点

三.查找所有flag

1.站点下面存在一个flag

image-20231013215918528

image-20231013220044963

大致意思就是暴力破解,账号密码

2.我们进行目录扫描

image-20231013220314587

image-20231013220408917

发现一个后台地址:?http://dc-2/wp-login.php?redirect_to=http%3A%2F%2Fdc-2%2Fwp-admin%2F&reauth=1

3.我们进行用户枚举

1)前面我们提到这是一个wordpress的站,我们采用专门针对wordpress的工具wpscan来进行扫描

Wpscan一些常用语句:

wpscan –url?http://dc-2

wpscan –url?http://dc-2?–enumerate t 扫描主题

wpscan –url?http://dc-2?–enumerate p 扫描插件

wpscan –url?http://dc-2?–enumerate u 枚举用户

2)我们先进行用户爆破用户名

image-20231013220646280

可以看到爆破出来三个用户名

2)我们进行爆破密码

我们使用cewl生成字典,使用wpscan进行暴力破解

cewl?http://dc-2/?> MS02423.txt

image-20231013220835248

3)最后我们爆破出来2个账号

jerry/adipiscing tom/parturient

image-20231013220912291

4)我们进行登录

image-20231013221021765

5)我们找到了flag2

image-20231013221421875

6)我们查看flag2

image-20231013221437901

意思是如果你不能利用WordPress并走捷径,还有另一种方法。

希望你找到了另一个切入点(这里我们想到7744端口,服务是ssh我们使用ssh进行登录)

4.使用ssh进行登录

1)我们使用ssh登录账号,用jerry登录半天登录不上去,我们使用tom进行登录,发现可以登录成功,而且看到了flag3.txt

image-20231013221825054

2)我们查看flag3.txt

image-20231013221945751

我们发现使用cat看不了,被rbash限制了

3)使用compgen -c 查看可以使用的命令,我们使用vi进行查看

image-20231013222101048

image-20231013222123923

5.rbash绕过

1)echo $PATH 显示当前PATH环境变量,该变量的值由一系列以冒号分隔的目录名组成

image-20231013222446343

2)cd进不去目录 ,前面我们知道可以使用ls,使用ls直接查看目录信息

image-20231013222612721

3)使用echo来绕过rbash

BASH_CMDS[a]=/bin/sh;a

export PATH=$PATH:/bin/

export PATH=$PATH:/usr/bin

echo /*

image-20231013222753663

4)我们可以看到cd可以使用了,我们cd .. ls 可以看到jerry

image-20231013223443700

5)我们看到flag4.txt,查看

image-20231013223524657

意思是

很高兴看到你走了这么远,但你还没回家。

您仍然需要获得最后的标志(唯一真正重要的标志!)

这里没有暗示,一,你现在只能靠自己了。*-)

继续

大致意思就是还没有结束。猜想需要提权才能获取到最终的flag,并且flag4 提示我们可以使用git,我们可以通过git来提权

6.我们进行提权

1)我们可以看到无需root权限,jerry 可以使用 git

sudo -l

image-20231013223939930

2)查看一下可以使用的root权限命令

find / -user root -perm -4000 -print 2>/dev/null

image-20231013224022322

3)提权成功

1、sudo git help config #在末行命令模式输入

!/bin/bash 或 !’sh’ #完成提权

2、sudo git -p help

!/bin/bash #输入!/bin/bash,即可打开一个用户为root的shell

image-20231013224439557

4)我们进入root用户

image-20231013224548835

5)我们进行ls

image-20231013224558830

6)我们查看flag

image-20231013224621819

四. 相关知识点

1、git提权

2、rbash绕过

3、[ 常用工具篇 ] kali 自带目录扫描神器 dirb Headless (命令行)模式详解

4、WPScan使用完整攻略

文章来源:https://blog.csdn.net/qq_58091216/article/details/135446229
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。