Vulnhub靶场 DC-2 WP

DC-2简介

描述

与DC-1一样,DC-2是另一个专门构建的易受攻击的实验室,目的是获得渗透测试领域的经验。

与原始DC-1一样,它在设计时就考虑了初学者。

必须具备Linux技能并熟悉Linux命令行,以及一些基本渗透测试工具的经验。

与DC-1一样,共有五个标志,包括最终flag。

同样,就像DC-1一样,标志对于初学者来说很重要,但对有经验的人则不那么重要。

简而言之,真正重要的唯一标志是最终flag。

对于初学者来说,Google是您的朋友。

技术信息

DC-2是基于Debian 32位构建的VirtualBox VM,因此在大多数PC上运行它应该没有问题。

尽管我尚未在VMware环境中对其进行测试,但它也应该可以工作。

当前已将其配置为桥接网络,但是可以进行更改以满足您的要求。为DHCP配置了网络。

安装很简单-下载它,解压缩,然后将其导入VirtualBox即可。

请注意,您需要将渗透测试设备上的主机文件设置为以下内容:

192.168.0.145 dc-2

显然,将192.168.0.145替换为DC-2的实际IP地址。

它将使生活变得更加简单(如果没有它,某些CMS可能无法工作)。

如果您不确定如何执行此操作,请参见此处的说明。

渗透过程

利用nmap扫描dc-2的地址

namp -sn 192.168.12.0/24

image.png

根据扫描结果得到dc-2的ip地址为192.168.12.138

利用nmap扫描nmap的端口信息

namp -A 192.1678.12.138

image.png

根据扫描结果发现开放了80端口并且开启了apache服务部署了wordpress

获取flag1

用浏览器打开网站,直接得到flag

image.png

image.png

生成密码字典并破解用户名密码

  • 使用cewl工具生成密码字典
cewl http://dc-2/ -w pwd.txt

image.png

  • 使用wpscan扫描网站
wpscan --url  192.168.12.13-e8

在使用wpscan工具扫描wordpress网站并枚举网站中的可用用户后,我发现其上有三个用户(admin,jerry和tom)
image.png

  • 使用wpscan和pwd.txt暴力破解密码
wpscan --url http://dc-2/ --wordlist pwd.txt

成功破解tom和jerry的密码
image.png

获取flag2

使用tom和jerry的密码分别登录wordpress后台

最终在使用jerry账户时发现了flag2

image.png

使用ssh登录dc-2

在目标机器上使用nmap执行完整端口扫描,我发现还有另一个运行SSH服务的开放端口(7744)

nmap -p- -A 192.168.12.138

image.png

ssh tom@192.168.12.138

尝试使用tom的密码登录ssh服务,并且成功登录
image.png

查看当前目录文件,发现flag3.txt,但是有限制,打不开,于是进行提权

image.png

shell绕过限制

[BASH_CMDS[a]=/bin/sh;a]
[/bin/bash]
[export PATH=$PATH:/bin/]
[export PATH=$PATH:/usr/bin]

image.png

获取flag3

绕过限制后,直接获取flag3

image.png

获取flag4

切换jerry用户登录dc-2,密码为最初破解的密码,登陆成功,获取flag4

image.png

提权并获取最终的flag

根据flag4的提示,利用git进行提权

使用sudo命令我发现这个用户(Jerry)可以以root用户身份运行git命令而无需密码。所以,我用它将我的权限升级为root用户,如下所示:

image.png

最后,我获得了root权限,可以读取final-flag.txt文件的内容。

image.png

posted @ 2019-12-03 14:51  𝓢𝓷1𝓹𝓮𝓻/  阅读(692)  评论(0编辑  收藏  举报