DC-2靶机

一、nmap查找指定网段

1.nmap查找指定网段中存活的IP地址以及开放的端口，只要有开放的端口就有一定的渗透机会

┌──(chang㉿kali)-[~]
└─$ nmap -T5 -v -p- 192.168.230.1-255

在这里出现了三个存活的主机IP，192.168.230.2    、192.168.230.129     、192.168.230.132

第一个是当前网段的网关IP，第二个是kali的IP，那么第三个IP就是我们所找的靶机IP

可以看到靶机开放的端口有80、7744，那么我们就往这两个端口渗入，7744暂且不知道是什么，于是着手与80端口

二、本地域名绑定

2.访问192.168.230.132，却出现被拒绝连接的提示，这是因为当前网站进行了域名访问限制

解决方法是在修改本地hosts文件，将IP与域名绑定

┌──(chang㉿kali)-[~/桌面]
└─$ sudo vim /etc/hosts                                  //sudo的意思是以root用户的身份进行当前命令

保存退出后再次访问Web即可

Flag1：

Your usual wordlists probably won’t work, so instead, maybe you just need to be cewl.

你常用的字典可能不会生效，也许你需要Cewl

More passwords is always better, but sometimes you just can’t win them all.

越多的密码总是好的，但有时候你就是无法赢得所有的密码

Log in as one to see the next flag.

以一个身份去查看下一个flag吧

If you can’t find it, log in as another.

如果你不能成功，尝试用另一个用户登录试试看

这里提示的已经很明显了，需要我们找到登录界面和账号，所以进行目录扫描

三、dirb目录扫描

┌──(chang㉿kali)-[~]
└─$ dirb http://192.168.230.132                //对目标进行基本的扫描，想对dirb命令有更多的了解可以看（URL链接）

找到关键字：admin（常见的还有以.php为后缀名的地址、login、index.php等等）

在Web上访问“http://192.168.230.132/wp-admin/“

四、wpscan破解账号密码

得到一个网站可以先判断是不是Wordpress网站所搭建，那怎么去判断呢，有一个很简单的办法

在网站检查源代码，Ctrl+F搜索wordpress关键字

然后就可以通过kali自带的软件Wpscan去扫描这个网站（切记！扫描的是根目录）

可以看到当前网站有三个用户分别是admin、jerry（杰瑞）、tom（汤姆），有没有发现这个点，也算是后面的一个伏笔吧

关于这个软件是怎么扫描出用户名的，我在此不多赘述。WPScan扫描URL来获取用户名，所以如果你不使用这个用户名，你肯定不会被WPScan搜索到

得到账号之后自然想得到密码，前面提到的Cewl可以扫描网站产生一个密码字典

┌──(chang㉿kali)-[~]
└─$ cewl http://192.168.230.132/index.php -w 1.txt                 //把爬虫得到的密码存入1.txt

┌──(chang㉿kali)-[~]
└─$ wpscan --url http://dc-2 -P /home/chang/1.txt --usernames jerry

这里不知道为什么tom的密码破解不出来，于是我用burpsuite去试试，发现也不行。上网问万能的网友

这里我实在想不明白为什么我将域名与IP绑定了，也不行。

！！！希望懂的大佬给个答案

使用这两个密码登录Web，仔细寻找flag，发现

If you can't exploit WordPress and take a shortcut, there is another way.

Hope you found another entry point.

如果你不能利用WordPress并走捷径，还有另一种方法。

希望你找到了另一个入口。

五、ssh渗透

还记得之前扫描出来的端口7744吗，这里把ssh默认端口改为了7744

┌──(chang㉿kali)-[~]
└─$ ssh jerry@192.168.230.132 -p 7744         
jerry@192.168.230.132's password: 
Permission denied, please try again.               //发现jerry登不上 去， jerry试了3次都不行怀疑人生，尝试tom

tom可以登录，但Jerry不行，猜想Jerry被限制了

ls             //查看当前文件

cat flag3.txt

vim flag3.txt

 发现被-rbsh限制

六、rbsh提权

compgen -c       //查看可以使用的指令，仔细观察，发现vi

 

vi falg3.txt

提到了tom和jerry和su

应该是让我们提权，然后去看看jerry和su

vi可以用 有一个vi的提权

vi随便打开文件
再下面添加
:set shell=/bin/sh
:shell

 cd ..                //返回上级目录
ls                   

 

cd jerry          //进入jerry
ls                //查看当前文件

 

发现flag4，查看

vi flag4.txt

 

最后一行提示git outta here，使用git逃离这里，由此想到git提权

七、git提权

1、sudo git help config 
!/bin/bash 或 !'sh'                                 //在末行命令模式输入，完成提权 
2、sudo git -p help 
!/bin/bash                                         //输入!/bin/bash，即可打开一个用户为root的shell

提权成功 获得root权限，切换到root目录下

查看flag5(final-flag.txt)

总结

在结束之际，我想说的是，学习并非如攀登险峻高峰，而是如滴水穿石般的持久累积。只有坚持不懈的学习才能不被社会所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断克服困难，与时代共同进步，书写属于我们的璀璨人生