1.下载DC-2靶场:
下载地址https://download.vulnhub.com/dc/DC-2.ziphttps://download.vulnhub.com/dc/DC-2.zip2.虚拟机打开靶场改网卡模式为桥接模式,打开虚拟机。
如果要是直接访问靶机的IP的80端口是打不开的,会跳转到http://dc-2/,要修改hosts文件,然后就可以访问到了。
在hosts文件结尾添加:
ip地址 dc-2
这是一个wordpress的cms,第一个flag提示我们进行登录并且用cewl生成密码列表。
cewl -w dc.txt http://dc-2
3.用wordpress专用的wpscan扫描一下,枚举一下用户名:
wpscan --url https://dc-2/ --enumerate u
一共有三个用户,tom,jerry,admin。
wordpress的登录后台一般在wp-login.php,用burp suite抓包爆破一下,也可以直接用wpscan进行密码爆破:
wpscan --url http://dc-2/ -e u --passwords dc.txt
爆出tom和jerry的密码但是没有admin的密码,用他们分别登录,搜索一下得到第二个flag:
提示我们用另一种方式登录。
4.nmap扫描一下端口:
有两个开放端口,一个是80端口,另一个是7744端口的ssh,另一种方式指的是ssh。
分别登录一下,只有tom可以登录,jerry没办法登录。
用vi读取一下flag3.txt,提示我们用su切换到jerry账户,但是shell并不是bash而是rbash,没办法使用su命令,可以用vi切换当前shell为bash shell:
但是依然用不了su命令,只能用四个命令,问题出在环境变量上,添加上之后就可以解决了。
export PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
用su 输入密码之后切换成jerry,查看jerry的home目录,看到第四个flag:
剩下的就是提权了,提示我们用git 进行提权:
sudo git -p help
进入root目录,就看到最后一个flag啦。