[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)
博主介绍
博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
点赞➕评论➕收藏 == 养成习惯(一键三连)
欢迎关注一起学习一起讨论⭐️一起进步文末有彩蛋
作者水平有限,欢迎各位大佬指点,相互学习进步!
文章目录
- 博主介绍
- 一、环境搭建:
-
- 1、靶场描述
- 2、下载靶场环境
- 3、启动靶场环境
- 二、渗透靶场
-
- 1、目标:
- 2、信息收集:寻找靶机真实IP
- 3、信息收集:探端口及服务
- 4、访问web站点
- 5、发现flag1
- 6、做一个目录扫描
- 7、用户名枚举
- 8、暴力破解出账号密码
- 9、发现flag2
- 10、在tom的家目录发现flag3
- 11、在jerry的家目录发现flag4
- 12、提权
- 13.发现final-flag.txt
- # 三、相关资源
一、环境搭建:
1、靶场描述
Much like DC-1, DC-2 is another purposely built vulnerable lab for the purpose of gaining experience in the world of penetration testing.
As with the original DC-1, it's designed with beginners in mind.
Linux skills and familiarity with the Linux command line are a must, as is some experience with basic penetration testing tools.
Just like with DC-1, there are five flags including the final flag.
And again, just like with DC-1, the flags are important for beginners, but not so important for those who have experience.
In short, the only flag that really counts, is the final flag.
For beginners, Google is your friend. Well, apart from all the privacy concerns etc etc.
I haven't explored all the ways to achieve root, as I scrapped the previous version I had been working on, and started completely fresh apart from the base OS install.
和DC-1一样,有五个flag
2、下载靶场环境
靶场下载地址:
https://www.vulnhub.com/entry/dc-2,311/
下载下来的文件如下
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第1张图片](http://img.e-com-net.com/image/info8/a59e80295e0f41fc945da807fe1eff27.jpg)
3、启动靶场环境
下载下来是虚拟机压缩文件,直接用Vmvare导入就行。
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第2张图片](http://img.e-com-net.com/image/info8/0eb03bbe657c449e82bbab8dec5d5e30.jpg)
设置虚拟机名称
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第3张图片](http://img.e-com-net.com/image/info8/aefbd40c3d8f4e87abd836ed21e3d6aa.jpg)
导入中
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第4张图片](http://img.e-com-net.com/image/info8/837903a0220e4617b4a9c5c23980069c.jpg)
导入完成之后打开后把网络模式设置为NAT模式。
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第5张图片](http://img.e-com-net.com/image/info8/43fd3ad28f704ba2a0c161fe73f03d7a.jpg)
虚拟机开启之后界面如下,我们不知道ip,需要自己探活,网段知道:192.168.233.0/24
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第6张图片](http://img.e-com-net.com/image/info8/cf1c65528b52478b8945007fed6e33c8.jpg)
二、渗透靶场
1、目标:
目标就是我们搭建的靶场,靶场IP为:192.168.233.0/24
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第7张图片](http://img.e-com-net.com/image/info8/db38264f0e634351ba4e4036a5f5c71a.jpg)
2、信息收集:寻找靶机真实IP
nmap -sP 192.168.233.0/24
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第8张图片](http://img.e-com-net.com/image/info8/6bc729bed86f48cdb5f2f70ed2d74d02.jpg)
本机ip为192.168.233.130
所以分析可得靶机ip为192.168.233.178
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第9张图片](http://img.e-com-net.com/image/info8/737a51cd36a747fd936cabbe7e29f054.jpg)
3、信息收集:探端口及服务
nmap -A -p- -v 192.168.233.178
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第10张图片](http://img.e-com-net.com/image/info8/f58db49cc5c44d7eb0c1cd32b378ec80.jpg)
发现开放了80端口,存在web服务,Apache/2.4.10,
发现开放了7744端口,开放了ssh服务,OpenSSH 6.7p1
4、访问web站点
http://192.168.233.178/
发现访问不了,且发现我们输入的ip地址自动转化为了域名,我们想到dc-2这个域名解析失败,我们需要更改hosts文件,添加一个ip域名指向。
修改hosts文件,添加靶机IP到域名dc-2的指向
192.168.233.178 dc-2
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第11张图片](http://img.e-com-net.com/image/info8/914d43d24221455b8b4216b685582c04.jpg)
添加完成之后,再次访问,访问成功
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第12张图片](http://img.e-com-net.com/image/info8/e9ce3df18d4a4fd880aed72f9caeef54.jpg)
可以很明显的发现这是一个wordpress的站点
5、发现flag1
在网页下面我们flag
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第13张图片](http://img.e-com-net.com/image/info8/70fad34ef000410fa1b08645ccc3131a.jpg)
点进入发现是flag1
大致意思如下:
你通常的单词列表可能不起作用,所以,也许你只是得小心点。
更多的密码总是更好,但有时你就是赢不了他们都是。
以一个身份登录,以查看下一个标志。
如果你找不到它,就以另一种身份登录。
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第14张图片](http://img.e-com-net.com/image/info8/9fd68d89a20640fba8169e6e01a8bd87.jpg)
大致意思就是暴力破解,账号密码
6、做一个目录扫描
dirb http://dc-2/
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第15张图片](http://img.e-com-net.com/image/info8/d20428392939467daa05ef2cad18586a.jpg)
发现后台地址
http://dc-2/wp-login.php?redirect_to=http%3A%2F%2Fdc-2%2Fwp-admin%2F&reauth=1
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第16张图片](http://img.e-com-net.com/image/info8/7e135ef393564339b4dab232fefc3167.jpg)
发现多个遍历,但似乎没什么有用的东西
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第17张图片](http://img.e-com-net.com/image/info8/1018419abfb5447f9d4678c86c48fa6e.jpg)
7、用户名枚举
前面我们提到这是一个wordpress的站,我们采用专门针对wordpress的工具wpscan来进行扫描
Wpscan一些常用语句:
wpscan --url http://dc-2
wpscan --url http://dc-2 --enumerate t 扫描主题
wpscan --url http://dc-2 --enumerate p 扫描插件
wpscan --url http://dc-2 --enumerate u 枚举用户
扫描wordpress版本
wpscan --url http://dc-2
发现wordpress的版本4.7.10
登录页面尝试登录
随即输入用户名密码,提示用户名不存在,似乎可以进行用户名枚举
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第18张图片](http://img.e-com-net.com/image/info8/2a8b4f0902584183b6fd69dbeb905c7f.jpg)
首先来个用户枚举,再尝试利用枚举到的用户爆破密码
wpscan --url http://dc-2 --enumerate u
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第19张图片](http://img.e-com-net.com/image/info8/e8b773112ab0499cbeb6cd4d599b89a7.jpg)
枚举出三个用户名
admin jerry tom
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第20张图片](http://img.e-com-net.com/image/info8/1cee921bcaa1431e9c52fab9af132306.jpg)
8、暴力破解出账号密码
根据flag1可以用暴力破解,我们使用cewl生成字典,使用wpscan进行暴力破解
cewl http://dc-2/ > 1.txt
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第21张图片](http://img.e-com-net.com/image/info8/38b82546522b4f46bf368b26ad8197ef.jpg)
wpscan --url http://dc-2 --passwords 1.txt
爆破出来两个账号
jerry/adipiscing
tom/parturient
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第22张图片](http://img.e-com-net.com/image/info8/1244fb7df58443669153d43476a00ce4.jpg)
jerry/adipiscing登录此站点
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第23张图片](http://img.e-com-net.com/image/info8/702eabaf9daa42b98037ceb507b83a56.jpg)
tom/parturient登陆此站点
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第24张图片](http://img.e-com-net.com/image/info8/a1efea0d358c476b9d28c7a8d290b11c.jpg)
9、发现flag2
登录后台之后,我们看到flag2,我用的是jerry的账号
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第25张图片](http://img.e-com-net.com/image/info8/1a824efb58ff489db459b3521ac2c203.jpg)
点进去之后看到flag2提示信息,简单说就是如果wordpress行不通的话就会一个点,我们之前发现有ssh,我们看看ssh
If you can't exploit WordPress and take a shortcut, there is another way.
如果你不能利用WordPress并采取一条捷径,还有另外一种方法。
Hope you found another entry point.
希望你找到了另一个入口。
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第26张图片](http://img.e-com-net.com/image/info8/4588364039ce4874a2855825dbf8638e.jpg)
10、在tom的家目录发现flag3
jerry/adipiscing
tom/parturient
登录ssh
ssh [email protected] -p 7744
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第27张图片](http://img.e-com-net.com/image/info8/01a7cbc9910f433e839daed03b279829.jpg)
在tom账号的家目录 发现flag3
cat用不了,我这里采用了vi来查看,当前=也可以反弹一个shell到kali
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第28张图片](http://img.e-com-net.com/image/info8/09d095ab3140418cadd9c7a8f5761d11.jpg)
提示内容如下
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第29张图片](http://img.e-com-net.com/image/info8/e4af9fefa192419f9b09626f0017959f.jpg)
接下来,尝试rbash绕过
查看可以使用的命令
echo $PATH
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第30张图片](http://img.e-com-net.com/image/info8/4a5a334e7be84797b77643bb37f5c75e.jpg)
cd进不去目录 使用ls直接查看目录信息
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第31张图片](http://img.e-com-net.com/image/info8/5e6a38481a424511ab7104fd7be8f92c.jpg)
使用echo来绕过rbash
BASH_CMDS[a]=/bin/sh;a
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
echo /*
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第32张图片](http://img.e-com-net.com/image/info8/af00e61ce2724233ac31c00d5a4482f4.jpg)
11、在jerry的家目录发现flag4
cd jerry
ls
cat flag4.txt
看到提示信息如下:
Good to see that you've made it this far - but you " re not home yet .
很高兴看到你走了这么远,但你还没回家。
You still need to get the final flag (the only flag that really counts!!! ).
您仍然需要获得最后的标志(唯一真正重要的标志!)
No hints here 一you're on your own now. :- )
这里没有暗示,一,你现在只能靠自己了。*-)
Go on
继续
git outta here!!!!
大致意思就是还没有结束。猜想需要提权才能获取到最终的flag,并且flag4 提示我们可以使用git,我们可以通过git来提权
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第33张图片](http://img.e-com-net.com/image/info8/05c421aa28204357b4a3ea1794cd2868.jpg)
我们可以看到无需root权限,jerry 可以使用 git
sudo -l
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第34张图片](http://img.e-com-net.com/image/info8/ae9283ae44d94d3986f256e86609ddad.jpg)
12、提权
查看一下可以使用的root权限命令
find / -user root -perm -4000 -print 2>/dev/null
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第35张图片](http://img.e-com-net.com/image/info8/367d5959204c4b248664cb57f94a59bb.jpg)
sudo可以使用,但是不能到root权限(可以尝试jerry的用户)
在使用su jerry (密码:adipiscing)
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第36张图片](http://img.e-com-net.com/image/info8/6ed6157f3bb446d58bc5c8e3e97d0aac.jpg)
jerry用户也不可以直接sudo su
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第37张图片](http://img.e-com-net.com/image/info8/1d64b5d62b144a1fb058da248638e349.jpg)
发现可以使用git命令 (root权限)
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第38张图片](http://img.e-com-net.com/image/info8/99e4619308fe46ac971969f8c5cf4efa.jpg)
使用git命令进行提取
输入!/bin/sh,直接输入就行
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第39张图片](http://img.e-com-net.com/image/info8/23a204704c114e9e942bac63cc2fcf6b.jpg)
提权成功
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第40张图片](http://img.e-com-net.com/image/info8/13d4068219c4443bac28785ced3d25c5.jpg)
13.发现final-flag.txt
cd /root
cat final-flag.txt
![[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)_第41张图片](http://img.e-com-net.com/image/info8/b3dab00065f74a74af51057984ec8e3b.jpg)
# 三、相关资源
1、靶场下载地址
2、git提权
3、rbash绕过
4、[ 常用工具篇 ] kali 自带目录扫描神器 dirb Headless (命令行)模式详解
5、WPScan使用完整攻略