目錄
- 環境搭建
- 環境資訊
- 滲透思路
- 1資訊收集
- 2漏洞發現
- 3漏洞利用
- 知識點匯總
- 參考資料
環境搭建
- 下載靶機(DC-2 靶機下載)
- 解壓后,使用 VMware 打開,并將攻擊機和靶機的網卡,設定為 NAT 模式,
NAT 模式:將攻擊機與靶機設定在同一網段下
環境資訊
- 攻擊機:kali -> IP:192.168.237.128
- 靶機:DC-2(Linux)

就像 DC-1 一樣,有五個 flag,包括最終的 flag ,

請注意,您需要將滲透測驗設備上的 hosts 檔案設定為:
192.168.0.145 dc-2
顯然,將 192.168.0.145 替換為 DC-2 的實際 IP 地址,
它將使生活變得更加簡單(如果沒有它,某些 CMS 可能無法作業),
滲透思路
1資訊收集
- 使用
nmap -sS -O 192.168.237.0/24掃描網段,找尋靶機的 IP,

- 根據掃描出的系統資訊,以及埠的開放情況,判斷
192.168.237.162是目標靶機的 IP,然后按斬訓境資訊修改 hosts 檔案,
Windows:C:\Windows\System32\drivers\etc\hosts
Linux:/etc/hosts

-
使用
nmap -A -T4 -p- 192.168.237.162對靶機進行全面掃描,

-
發現靶機開放了 80 埠,并且靶機的 http 站點的 CMS 為 WordPress ,使用
http://192.168.237.162嘗試進行訪問,

-
成功訪問到靶機的 http 站點,根據首頁內容,再次確認這是一個 WordPress 站點,
2漏洞發現
- 嘗試點擊首頁的
Flag選項,成功找到了第一個 flag,

您通常的單詞表可能不起作用,因此,也許您只需要成為 cewl,
更多的密碼總是更好,但有時你無法贏得所有密碼,
以一個身份登錄以查看下一個標志,
如果找不到,請以另一個身份登錄,
- 根據 flag1 的內容,使用
cewl http://dc-2/ -w password.txt制作密碼字典, - 因為 flag1 中提到需要登錄,但是網頁中找不到相關的登錄界面入口,所以使用
dirsearch -u http://dc-2/爆破網站目錄,尋找登錄界面,

-
成功找到登錄界面,使用
http://dc-2/wp-login.php進行訪問,

-
訪問成功后,由于目前只有密碼字典,所以還需要使用
wpscan --url http://dc-2/ -e u列舉 WordPress 站點中注冊過的用戶名,來制作用戶名字典,

-
成功列舉出三個用戶名,將這三個用戶名寫入到一個檔案中,作為用戶名字典,

-
使用
wpscan --url http://dc-2/ -U user.txt -P password.txt呼叫相關的字典檔案對網站進行爆破,

-
成功爆破出兩個用戶,嘗試使用
jerry:adipiscing進行登錄,

-
登錄成功后,把每個選項都點擊一遍試試效果,在
Pages -> All Pages下發現了 flag2,

如果您不能利用 WordPress 并走捷徑,還有另一種方法,
希望你找到另一個切入點,
3漏洞利用
-
根據 flag2 中的內容,想到了在資訊收集階段中掃描出的 ssh 服務,并且當前我們知道兩對用戶名和密碼,所以分別使用
ssh jerry/[email protected] -p 7744嘗試登錄,

-
使用
tom:parturient登錄成功,使用whoami查看當前權限,

-
發現當前為 rbash,被限制的 Shell,所以可以考慮進行 rbash 繞過,
-
使用
la -al瀏覽一下當前目錄,發現了flag3.txt,

-
使用
cat flag3.txt進行查看,發現無法使用該命令,所以嘗試使用vim或vi進行查看,

可憐的老湯姆總是追著杰瑞跑, 也許他應該為他造成的所有壓力感到不安,
- 使用
vi查看成功,觀察 flag3 中的內容,發現文本中包含Jerry和su,所以猜測需要使用su jerry登錄到 jerry 用戶下,嘗試后發現su命令無法使用,所以下一步嘗試進行 rbash 繞過, - 使用
export -p發現可以使用export命令,所以使用以下命令進行 rbash 繞過:
BASH_CMDS[a]=/bin/sh;a #注:把 /bin/sh 給a變數并呼叫
export PATH=$PATH:/bin/ #注:將 /bin 作為PATH環境變數匯出
export PATH=$PATH:/usr/bin #注:將 /usr/bin 作為PATH環境變數匯出

-
繞過成功,使用
su jerry和之前爆破出的密碼嘗試進行登錄,

-
登錄成功,使用
cd /home/jerry/訪問家目錄,發現了flag4.txt,

很高興看到你已經走到了這一步——但你還沒有回家,
您仍然需要獲得最終標志(唯一真正重要的標志!!!),
這里沒有任何提示——你現在就靠你自己了, ??
繼續 - 離開這里!!!!
-
根據 flag4 的內容,可以推斷下一步需要進行提權,來獲取 root 權限,訪問 /root 目錄,
-
觀察 flag4 中的內容,發現了
git這個字眼,猜測需要使用git提權,所以使用sudo -l查看當前用戶可以以 root 身份執行的命令,

-
發現可以以 root 身份執行
git命令,所以下一步使用git進行提權,使用sudo git help config使git被動呼叫more進行顯示, -
輸入
!/bin/bash即可提權成功,

-
使用
cd /root/訪問 /root 目錄,找到了final-flag.txt,

恭喜!!!
特別感謝所有給我發推文并為我提供反饋的人——非常感謝,
如果你喜歡這個 CTF,請通過@DCAU7 給我發一條推文,
- 滲透結束!!!
知識點匯總
- 使用
nmap找尋并掃描靶機, - 使用
dirsearch爆破網站目錄, - 使用
cewl制作字典, - 使用
wpscan對 WordPress 站點進行掃描和爆破, - rbash 繞過
- sudo 提權
- git 提權
- 修改 hosts 檔案來訪問網站,
參考資料
DC-2 官網
rbash 繞過
如果您覺得哪里有問題,可以在評論區進行留言,我會馬上進行修正的,謝謝!
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/502227.html
標籤:其他
上一篇:一個免殺專案分享
下一篇:XXE漏洞學習
