vulnhub-DC-2通关攻略
靶机下载地址
https://www.vulnhub.com/entry/dc-2,311/
使用nmap扫描存活主机
nmap 192.168.112.0/24
访问80端口
发现一直讲我们跳转到dc-2该域名,那我们就要修改Windows中的host文件对应的DNS记录
进行目录扫描,查看是否有一些敏感文件或者路径
dirsearch -u http://dc-2/
访问80端口,同时在wappalyzer上获得了网站的cms信息
同时,在网站的首页,我们找到了第一个flag
flag内容:
你通常的单词列表可能不起作用,所以相反,也许你只需要成为cewl。
更多的密码总是更好,但有时你就是无法赢得所有密码。
以一个身份登录以查看下一个标志。
如果您找不到它,请以其他身份登录。
这里提到了cewl,Cewl是一款采用Ruby开发的应用程序,可以给他的爬虫指定URL地址和爬取深度,还可以添 加外部链接,接下来Cewl会给你返回一个字典文件。
使用cewl对目标网站进行爬虫,并生成字典。
cewl http://dc-2/ -w dc2.txt
查看dc-2.txt文件
统计共238行,按照提示,这个应该为密码字典。
这个网站没有登录的地方,但是这是一个WordPress框架,是一个cms ,所以可以先尝试一下默认的后台地址 /wp-login.php
/wp-admin
如果不行,则需要使用网站目录扫描工具扫描网站后台
由于是wordpress,针对于wordpress 有专门的扫描器 wpscan,使用该扫描器进行扫描
wpscan --url http://dc-2/ -e u
总共枚举出三个用户 admin Jerry tom
使用wpscan进行暴力破解
wpscan --url http://dc-2 --passwords dc2.txt
密码
一共爆破出两个账号
jerry / adipiscing tom / parturient
分别登录一下
再登录jerry时,发现了flag2
内容:
如果你不能利用WordPress并走捷径,还有另一种方法。
希望你找到了另一个切入点。
提示告诉我们,不能再利用WordPress了,但是通过刚该是的namp扫描只扫到了一个80端口
尝试扫描所有端口试试
nmap -sV 192.168.10.148 -p-
发现有一个7744端口,并且对应的服务是ssh。
先尝试使用刚才的用户名和密码登录试试
ssh tom@192.168.112.129 -p 7744
成功登录
ls发现里面有flag3.txt,但是cat查看不了,所以我尝试使用less查看
内容:
Poor old Tom is always running after Jerry. Perhaps he should su for all the stress he causes.
可怜的老汤姆总是追赶杰瑞。也许他应该为他造成的所有压力而起诉。
需要我们登录jerry用户
我尝试重新使用ssh命令,但是提示我权限不够
所以只能登录tom用户,然后进行切换用户
但是提示su命令不存在 ,应该是 -rbash的原因
切换到其他shell试试,但是提示不能添加“/”
绕过-rbash
BASH_CMDS[a]=/bin/sh;a
$ export PATH=$PATH:/bin
$ su - jerry
BASH_CMDS 是Bash的一个内部数组,用于存储命令相关信息
export 命令用于将变量导出为环境变量,使得该变量对于后续执行的子进程可见。
ls发现了flag4
内容:
很高兴看到你走了这么远——但你还没到家。
你仍然需要得到最终的旗帜(唯一真正重要的旗帜!!!)。
这里没有暗示-你现在独自一人了。:-)
继续 - git outta here!!!!
唯一提示是 -git,考虑使用git命令进行提权
使用sudo查看授权的命令
sudo -l命令用于显示当前用户可以用sudo执行的命令。具体来说,sudo -l会列出当前用户被授权执行的sudo命令及其权限范围。
发现有一个git命令,并且不需要密码。
使用git命令提权,执行sudo git -p help,强制进入交互状态(让页面缓冲区无法显示全部信息,放大字体即可)。
当git -p help命令执行完,如果内容再页面上显示不完,就会进入交互状态,和less类似~此时可以输入!/bin/bash,以root身份进入bash(因为加了sudo)。
cd ~ //切换到用户主目录
ls发现最后一个flag
