[PHP知识库]DC-2靶机攻略

前言

之前进行了DC-1的攻略有兴趣的可以点击去看一下

提示：以下是本篇文章正文内容，下面案例可供参考

DC-2 教程

简单介绍：这次的靶机渗透是一个找寻DC-2靶机中的flag的过程，以最终的flag为目标。

1.确定目标IP，以及端口号

通过nmap -sP扫描网段最终确定IP为192.168.48.132，端口号开放80、7744。

2.进入登陆界面

1）看到目标开放80端口，我们通过浏览器输入IP地址尝试访问对方80.
2）输入IP后发现无法访问并返回一个域名，经验证才发现需要设立本地hosts文件ip地址对应域名。才可以成功访问

3）成功访问：确定CMS是wordpress

WordPress是一种使用PHP语言和MySQL数据库开发的博客平台,get CMS

3.查看flag并进行下一步操作

**点击页面上的flag，发现了flag1，给出的提示是：需要使用cewl工具破解密码，用一个身份登录后，能找到下一个flag。所以接下来会用到cewl工具破解密码。使用cewl破解密码前，要先找到该页面的后台登录地址，所以我们使用目录扫描工具dirb，扫出来目标登陆地址为：http://dc-2/wp-admin/ **

4.进行用户账号密码收集。

根据上一步提示，需要我们用cewl，cewl生成的字典是用来破解密码的。但是我们还没有账户信息，所以需要借助wpscan工具来扫描出后台登录的用户名，还可以借此爆破密码

命令：wpscan --url http://dc-2/wp-admin/ -e u

扫描出来的结果发现对方有两个账户jerry和tom，我们用cewl生成与url相关的密码，并保存为文本，再继续用wpscan对该登录界面进行爆破。


用wpscan进行爆破。这里需要两个文件，一个user.txt–内容为刚才的用户名jerry和tom。一个为cewl生成的字典文件pass.txt。

wpscan爆破命令：wpscan --url http://dc-2 -U 存放用户名文件 -P 存放密码字典文件。

找到账号密码，我们用账号和密码登陆一下，发现成功登陆。

并且在这里可以找到第二面旗子

5.另一种登陆方法——SSH-7744

第二面旗子的翻译是这样：

标志2：

如果你不能利用WordPress并走捷径，还有另一种方法。

希望你能找到另一个切入点。

1）另一个切入点，扫描端口时的另一个端口：7744（ssh）
我们通过ssh远程登录，最终TOM用户登陆成功

6.提权操作

为什么要提权？因为在该用户SSH界面中，用户的shell命令是被限制的，比如不能tab补齐，没有vim，cat等命令。

从上图中发现 -rbash 是受限制的命令，搜搜 -rbash，发现是可以绕过的，开始操作。

1）我们首先看一下我们能输的命令有哪些:

·命令：ls /home/tom/usr/bin

发现只有四个命令可以输入。

BASH_CMDS是系统中默认的命令字数组

2)修改$PATH

其中我们利用BASH_CMDS[a]=/bin/sh
通过数组调用/bin/sh
发现可以输出$PATH
修改$PATH ($PATH指明命令的路径存放位置)

此时我们发现可以查看flag3了 ·命令为cat flag3.txt

flag3显示让我们去切换到jerry

3）切换到jerry

我们切换到jerry后，发现有个flag4，查看后看来还不是最终的答案。

提示还不是最终的flag，提示git，查看sudo配置文件，发现git是root不用密码可以运行，搜索git提权

4）进行提权，提权成功

使用 sudo git -p help 且一页不能显示完，
在最底下面输入 !/bin/bash，
!/bin/bash是指此脚本使用/bin/bash来解释执行。
最后完成提权。


文章到此结束，看到最后的小伙伴还请一键三连！谢谢。
参考：
https://blog.csdn.net/weixin_45116657/article/details/101377121
https://www.anquanke.com/post/id/173159
https://blog.csdn.net/weixin_42712876/article/details/84227651
https://blog.csdn.net/qq_23143555/article/details/80266937
https://www.runoob.com/linux/linux-comm-sudo.html