靶機概覽
詳情介紹請參考下載地址
任務目標:拿下5個flag
下載地址:https://www.vulnhub.com/entry/dc-2,311/
資訊收集
nmap資訊收集
1:使用nmap確定靶機地址是192.168.75.155
2:繼續使用nmap對靶機做進一步探測,發現靶機開啟了80和7744(SSH)埠,先從80埠開啟局面
3:訪問網站,發現URL欄寫的不是靶機的ip,而是http://dc-2/,很明顯,DNS沒有解析出來
4:回過頭來注意到nmap掃描時有這樣一個提示,基本可以確認需要手動配置hosts檔案
5:配置hosts檔案
(1)kali修改hosts
vim /etc/hosts
(2)windows修改hosts
C:\Windows\System32\drivers\etc\hosts
6:再次訪問網站
網站資訊收集
登入網站直接拿到Flag1,頁面給出了一些線索
線索的大致意思如下
提示用cewl工具破解密碼,登陸後才可以檢視下一個flag
(cewl是一款採用Ruby開發的應用程式,可以給它的爬蟲指定URL地址和爬取深度,還可以添額外的外部連結,接下來cewl會給你返回一個字典檔案,然後可以用於密碼破解。)
目錄掃描
既然需要登入,使用dirb掃描網站目錄,尋找可登入地址
訪問
使用者列舉
成功訪問,看到登入介面,前面又提示需要cwel(cwel生成的字典是用來爆破密碼的),嘗試使用者列舉,然後利用列舉到的使用者爆破密碼
由於靶機的網站頁面是wordpress,所以選擇wpscan
wpscan --url http://dc-2/ -e u
發現了3個賬戶
接著使用cewl生成與url相關的密碼
vim user.txt #先把使用者名稱放到一個txt中
cewl http://dc-2/ -w passwd.txt #生成字典
滲透攻擊
爆破後臺
爆破的話需要使用者名稱字典,很明顯,就是admin,jerry和tom那三個使用者,密碼字典則是cewl爬站時生成的passwd.txt字典,工具這裡選擇使用wpscan
wpscan --url http://dc-2 -U user.txt -P passwd.txt #爆破密碼
這裡只爆破出兩個,admin沒有爆破成功
Username: jerry, Password: adipiscing
Username: tom, Password: parturient
訪問網站
登入tom沒發現有意思的資訊,登入jerry發現了有趣的資訊
先來看一下Flag,顯示的是Flag1的內容
再來看一下Flag2
百度翻譯
提示說如果不能利用wordpress,也就是80埠,web服務,還有另外一種方法,前面埠掃描時,掃出來了兩個服務,另一個是7744埠(ssh),嘗試連線吧
登入ssh
使用tom後臺密碼嘗試登入ssh
注意,由於靶機的ssh不是22,所以需要指定埠
ssh tom@192.168.75.155 -p 7744
發現了flag3,但是由於tom用的是rbash,所以無法使用cat命令,需要繞過rbash限制
繞過rbash
rbash是Restricted Shell,即受限的shell,它與一般標準shell的區別在於會限制執行一些行為
怎麼做可以繞過shell限制?
BASH_CMDS[a]=/bin/sh;a
/bin/bash
#新增環境變數
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
拿到flag3,現線上索引向了jerry,並提示使用su,那就是切換使用者
使用jerry後臺的密碼來蒙一下,成功切換使用者後,在jerry的家目錄看到flag4.txt
根據提示,還剩最後一個flag,看這意思是需要進到root家,flag5極大機率在root家裡,最後暗示了一下git
git提權
使用git提權
用sudo -l看到git有root許可權,並且不需要密碼
輸入如下命令,會強制進入互動狀態
sudo git -p --help
再呼叫bash
!/bin/bash
現在就能以root身份執行命令了
在roo目錄下找到最終flag