Vulnhub-DC-2实战靶场

这次试试DC-2，目标是找到官方设置的5个flag。

一. 环境搭建

1. 准备工具

虚拟机Kali：

自备，我的kali的IP为192.168.3.129

靶场机：

https://download.vulnhub.com/dc/DC-2.zip

2.靶场准备

修改网络适配器为网桥模式：

二.渗透过程

1.主机发现

Nmap扫描Nat网段，通过排除法可得到靶机IP为192.168.3.207

namp -sP 192.168.3.207

2.端口扫描

Nmap扫描目标靶机开放的端口：

namp -A -p- 192.168.3.207

这次得到的信息就多了，发现靶机开放了80端口http服务，同时开放了ssh服务，不过是7744端口。

3.网页信息收集，flag1

直接在kali访问目标http://192.168.111.145，结果失败了无法查看:

根据提示的信息，发现目标进行了重定向，需要修改本地hosts文件，进行DNS解析：

vim /etc/hosts           #编辑hosts文件
192.168.111.145 dc-2     #添加域名

vim /etc/hosts #编辑hosts文件
192.168.3.207 dc-2 #添加域名
···

4.cewl工具爬取网站密码

根据flag1的提示，我们‘需要cewl与更多的密码’，应该是使用cewl对目标网站生成密码字典：

5.wpscan提取用户

既然以及得到了密码字典，那么下一步就是要找到用户，使用kali自带的wpscan工具，对目标进行用户扫描：

wpscan --url http://dc-2/ -e u        #-e：枚举；u：用户

可以得到三个用户：admin、jerry和tom。

6.wpscan爆破用户密码

将得到的用户写入字典user，同时利用wpscan与之前的pass字典匹配爆破用户密码：

wpscan --url http://dc-2/ -e -U /root/user.txt -P /root/pass.txt

成功爆出了用户密码：
jerry：adipiscing
tom：parturient

7.dirsearch目录扫描

使用dirsearch扫描目录，发现http://dc-2/wp-admin/登录界面：

dirsearch -u http://dc-2 -x 403,404,500

8.登录wp，flag2

使用刚刚的用户密码登录wordpress：

再使用另一个用户登录，结果空空的什么都没有：

9.ssh连接

进入wp后可以利用shell脚本木马上线，但根据flag2提示‘如果不能利用wp，但可以尝试其他途径’，结合之前扫出来的ssh服务及端口，那下一步很明显是利用ssh了。

使用用户密码尝试ssh连接，jerry用户连接失败：

10.rbash绕过，flag3

使用tom用户ssh连接后，发现目标设置了rbash限制，导致大部分命令无法使用，不能查看flag3：

测试了一下 ‘vi’可以使用，那利用vi进行rbash绕过，首先vi建立一个文本，文本内输入‘set shell=/bin/bash’，再输入‘shell’，确认后自动退出，最后输入‘export PATH=$PATH:/bin/，即可完成rbash绕过：

vi a
set shell=/bin/bash
shell
export PATH=$PATH:/bin/

并且成功拿到了flag3：

11.su切换用户，flag4

12.提权，final-flag

到了这一步，接下来的就很明确了，无非就是提权。根据flag4的提示‘go on – git’，那么接下来就用git进行提权。

使用sudo -l查看一下，发现允许无密码使用git：

输入‘sudo git help config’进入配置文件，在文件末尾输入‘!/bin/bash’,即可成功提权：

sudo git help config
GG   #定位到文末
!/bin/bash

最后在/root找到了最终的flag：

总结

靶场还是比较简单的，而且官方给的提示也很明确。

在打靶场时，看得出来已经做了很多限制的安全措施，但做了又跟没做一样，方法总比困难多。所以在平时做防护一定更加要仔细一些，及时做好CMS的更新与维护等等。

参考学习：
Vulnhub-DC-2实战靶场
https://blog.csdn.net/ierciyuan/article/details/127560871