1200字范文 > [ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)

[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-2 通关详解 (附靶机搭建教程)

时间：2019-08-23 11:01:58

🍬 博主介绍
👨‍🎓 博主介绍：大家好，我是 _PowerShell ，很高兴认识大家~
✨主攻领域：【渗透领域】【数据通信】【通讯安全】【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯（一键三连）😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限，欢迎各位大佬指点，相互学习进步！

文章目录

🍬 博主介绍一、环境搭建：1、靶场描述2、下载靶场环境3、启动靶场环境二、渗透靶场1、目标：2、信息收集：寻找靶机真实IP3、信息收集：探端口及服务4、访问web站点5、发现flag16、做一个目录扫描7、用户名枚举8、暴力破解出账号密码9、发现flag210、在tom的家目录发现flag311、在jerry的家目录发现flag412、提权13.发现final-flag.txt # 三、相关资源

一、环境搭建：

1、靶场描述

Much like DC-1, DC-2 is another purposely built vulnerable lab for the purpose of gaining experience in the world of penetration testing.As with the original DC-1, it's designed with beginners in mind.Linux skills and familiarity with the Linux command line are a must, as is some experience with basic penetration testing tools.Just like with DC-1, there are five flags including the final flag.And again, just like with DC-1, the flags are important for beginners, but not so important for those who have experience.In short, the only flag that really counts, is the final flag.For beginners, Google is your friend. Well, apart from all the privacy concerns etc etc.I haven't explored all the ways to achieve root, as I scrapped the previous version I had been working on, and started completely fresh apart from the base OS install.和DC-1一样，有五个flag

2、下载靶场环境

靶场下载地址：

/entry/dc-2,311/

下载下来的文件如下

3、启动靶场环境

下载下来是虚拟机压缩文件，直接用Vmvare导入就行。

设置虚拟机名称

导入中

导入完成之后打开后把网络模式设置为NAT模式。

虚拟机开启之后界面如下，我们不知道ip，需要自己探活，网段知道：192.168.233.0/24

二、渗透靶场

1、目标：

目标就是我们搭建的靶场，靶场IP为：192.168.233.0/24

2、信息收集：寻找靶机真实IP

nmap -sP 192.168.233.0/24

本机ip为192.168.233.130
所以分析可得靶机ip为192.168.233.178

3、信息收集：探端口及服务

nmap -A -p- -v 192.168.233.178

发现开放了80端口，存在web服务，Apache/2.4.10，
发现开放了7744端口，开放了ssh服务，OpenSSH 6.7p1

4、访问web站点

http://192.168.233.178/

发现访问不了，且发现我们输入的ip地址自动转化为了域名，我们想到dc-2这个域名解析失败，我们需要更改hosts文件，添加一个ip域名指向。

修改hosts文件，添加靶机IP到域名dc-2的指向

192.168.233.178 dc-2

添加完成之后，再次访问，访问成功

可以很明显的发现这是一个wordpress的站点

5、发现flag1

在网页下面我们flag

点进入发现是flag1
大致意思如下：
你通常的单词列表可能不起作用，所以，也许你只是得小心点。
更多的密码总是更好，但有时你就是赢不了他们都是。
以一个身份登录，以查看下一个标志。
如果你找不到它，就以另一种身份登录。

大致意思就是暴力破解，账号密码

6、做一个目录扫描

dirb http://dc-2/

发现后台地址

http://dc-2/wp-login.php?redirect_to=http%3A%2F%2Fdc-2%2Fwp-admin%2F&reauth=1

发现多个遍历，但似乎没什么有用的东西

7、用户名枚举

前面我们提到这是一个wordpress的站，我们采用专门针对wordpress的工具wpscan来进行扫描
Wpscan一些常用语句：

wpscan --url http://dc-2wpscan --url http://dc-2 --enumerate t 扫描主题wpscan --url http://dc-2 --enumerate p 扫描插件wpscan --url http://dc-2 --enumerate u 枚举用户

扫描wordpress版本

wpscan --url http://dc-2

发现wordpress的版本4.7.10

登录页面尝试登录
随即输入用户名密码，提示用户名不存在，似乎可以进行用户名枚举

首先来个用户枚举，再尝试利用枚举到的用户爆破密码

wpscan --url http://dc-2 --enumerate u

枚举出三个用户名

admin jerry tom

8、暴力破解出账号密码

根据flag1可以用暴力破解，我们使用cewl生成字典，使用wpscan进行暴力破解

cewl http://dc-2/ > 1.txt

wpscan --url http://dc-2 --passwords 1.txt

爆破出来两个账号

jerry/adipiscingtom/parturient

jerry/adipiscing登录此站点

tom/parturient登陆此站点

9、发现flag2

登录后台之后，我们看到flag2，我用的是jerry的账号

点进去之后看到flag2提示信息，简单说就是如果wordpress行不通的话就会一个点，我们之前发现有ssh，我们看看ssh

If you can't exploit WordPress and take a shortcut, there is another way.如果你不能利用WordPress并采取一条捷径，还有另外一种方法。Hope you found another entry point.希望你找到了另一个入口。

10、在tom的家目录发现flag3

jerry/adipiscingtom/parturient

登录ssh

ssh tom@192.168.37.130 -p 7744

在tom账号的家目录发现flag3
cat用不了，我这里采用了vi来查看，当前=也可以反弹一个shell到kali

提示内容如下

接下来，尝试rbash绕过
查看可以使用的命令

echo $PATH

cd进不去目录使用ls直接查看目录信息

使用echo来绕过rbash

BASH_CMDS[a]=/bin/sh;aexport PATH=$PATH:/bin/export PATH=$PATH:/usr/binecho /*

11、在jerry的家目录发现flag4

cd jerrylscat flag4.txt

看到提示信息如下：

Good to see that you've made it this far - but you " re not home yet .很高兴看到你走了这么远，但你还没回家。You still need to get the final flag (the only flag that really counts!!! ).您仍然需要获得最后的标志(唯一真正重要的标志！)No hints here 一you're on your own now. :- )这里没有暗示，一，你现在只能靠自己了。*-)Go on继续git outta here!!!!