vulnhub-DC:2靶机渗透记录

准备工作

在vulnhub官网下载DC:1靶机https://www.vulnhub.com/entry/dc-2,311/

导入到vmware

vulnhub-DC:2靶机渗透记录

打开kali准备进行渗透(ip:192.168.200.6)

 

信息收集

利用nmap进行ip端口探测

nmap -sS 192.168.200.6/24  

vulnhub-DC:2靶机渗透记录

探测到ip为192.168.200.13的主机开放了80端口

 

访问192.168.200.13:80,一直转圈无法打开,后来重定向到了这个网站www.dc-2.com

vulnhub-DC:2靶机渗透记录

需要手动配置hosts文件,靶机ip对应的dc-2域名里添加进去

vi /etc/hosts

 vulnhub-DC:2靶机渗透记录

 

 在网站找到了flag1

vulnhub-DC:2靶机渗透记录

flag1提示我们使用cewl对这里进行扫描获得密码字典

cewl http://dc-2/index.php/flag/ > pwd.dic

将扫到的密码字典保存下来 

 

目前网站已经没有别的信息了,接下来先把网站扫一遍看看有没有别的入口

 使用dirsearch

python3 dirsearch.py -u http://192.168.200.13:80

vulnhub-DC:2靶机渗透记录

 

 发现一个后台登陆的界面http://dc-2/wp-login.php,框架是wordpress

vulnhub-DC:2靶机渗透记录

 

wpscan扫描用户

 

使用kali自带的工具wpscan(wordpress框架专门的漏洞扫描工具)列举出所有用户

wpscan --url http://dc-2/ -e u

 vulnhub-DC:2靶机渗透记录

 

 发现admin、jerry、tom三个用户,结合我们刚刚拿到的密码字典,可以进行爆破

使用BP带的爆破模块,选择Cluster bomb模式,将用户和密码设置为变量

vulnhub-DC:2靶机渗透记录

 

 再将第一个变量设置为admin、jerry、tom,第二个变量导入为刚刚获得的密码字典

vulnhub-DC:2靶机渗透记录

 vulnhub-DC:2靶机渗透记录

进行爆破,根据返回的长度,获得两个匹配的账号密码

tom——parturient

jerry——adipiscing

vulnhub-DC:2靶机渗透记录

 

 

先登陆tom看看

vulnhub-DC:2靶机渗透记录

 在这里找到了flag2,jerry也是一样的

 

提示我们除了利用wordpress还有另一个方法,但找了很久不知道什么方法,看了一下别人的通关记录才发现,刚刚nmap扫描的时候没有扫透应该使用 nmap -p- 192.168.200.13 扫描所有范围的端口,才能扫到7744端口

vulnhub-DC:2靶机渗透记录

 但是这样却扫不出是什么服务使用nmap -sV -p- 192.168.200.13就能看到是ssh服务

vulnhub-DC:2靶机渗透记录

 

知道了是ssh就用刚刚的账号密码尝试连接看看

vulnhub-DC:2靶机渗透记录

 

 成功连上,看到了flag3.txt

vulnhub-DC:2靶机渗透记录

 

 用了cat命令和vim都打不开,后面试了vi就可以打开了

vulnhub-DC:2靶机渗透记录

 可怜的老汤姆总是在追杰瑞。也许他应该为自己造成的压力负责。

提示使用su,tom和jerry都是用户,应该是要切换到jerry

 

看看别的文件夹有没有信息,但是cd命令给限制了,su切换到jerry也不行

 vulnhub-DC:2靶机渗透记录

 

绕过rbash

 找资料发现需要绕过rbash

参考文章RBash - 受限的Bash绕过 - 云+社区 - 腾讯云 (tencent.com)

输入vi 打开编辑器,然后输入:set shell=/bin/bash,再执行命令:shell,就可以绕过rbash

vulnhub-DC:2靶机渗透记录

 vulnhub-DC:2靶机渗透记录

 

 获取权限后就可以cd查看别的文件夹

vulnhub-DC:2靶机渗透记录

 

 看到上级文件夹有一个jerry,进去后发现flag4.txt,用vi打开查看

vulnhub-DC:2靶机渗透记录

没有提示了 ,直接让我们进到home里,但是却提到了git outta here,应该是git提权

 

但发现刚刚那个绕过方式不能使用su切换到jerry,再换一种绕过方式看看

BASH_CMDS[a]=/bin/sh;a  //注:把/bin/bash给a变量`
export PATH=$PATH:/bin/  //注:将/bin 作为PATH环境变量导出
export PATH=$PATH:/usr/bin  //注:将/usr/bin作为PATH环境变量导出

vulnhub-DC:2靶机渗透记录

成功绕过 ,登陆jerry

 vulnhub-DC:2靶机渗透记录

vulnhub-DC:2靶机渗透记录

 但是当访问root文件夹时却权限不够,尝试使用git提权

 

git提权

输入如下命令,会强制进入交互状态

sudo git -p --help

再调用bash

!/bin/bash

成功提权,现在就能以root身份执行命令了,进入root获得最终flag

vulnhub-DC:2靶机渗透记录

 

 

参考文章

 rbash绕过_一只小白@的博客-CSDN博客_rbash绕过

Vulnhub -- DC2靶机渗透 - Gh0st_1n_The_Shell - 博客园 (cnblogs.com)

 

上一篇:纯真IP根据IP地址获得地址


下一篇:10 个开源服务网格测试工具和框架比较