DC-2 靶机

提前环境(kali  DC-2靶机）

 先进行信息收集

 发现同一网段多了个地址  148

使用nmap 对其进行扫描

 得到148有两个端口号是开着的  80和7744

拿去访问  http://192.168.47.148:80 你会发现本地访问不了  会自动跳到DC-2  应该是被重定向了

所以  本地dns绑定下

访问本地hosts
C:\Windows\System32\drivers\etc
修改hosts文件
末尾添加一条 192.168.47.148  dc-2

重新访问  进入发现第一个flag

提示：“Your usual wordlists probably won’t work, so instead, maybe you just need to be cewl.”

意思应该就是用cewl

（Cewl是一款采用Ruby开发的应用程序  你可以给它的爬虫指定URL地址和爬取深度  还可以添额外的外部链接  接下来Cewl会给你返回一个字典文件  你可以把字典用到类似John the Ripper这样的密码破解工具中  除此之外  Cewl还提供了命令行工具)

先用字典来试一下  （ cewl http://dc-2 -w passwd.txt)

将爬取http://dc-2/网站生成的字典  放在桌面上的passwd.txt文件中

  再 查下字典

得到密码字典  接下里找它的用户名和登录框

使用 dirb来挖目录  （dirb  http://dc-2)

 admin.php非常有可能是登录框  访问试试

是一个登录网站的页面 明显的wordpress网站

（WordPress是全球流行的博客网站  许多外国的博客都是用它搭建的 但是存在着很多漏洞 专注于这些漏洞与其特性  一个专门针对该CMS的WPScan工具出现了）

需要用户名和密码   利用工具 wpscan

 得到了三个用户

先保存这三个用户

还记得我们之前生成的网站字典吗  再利用wpscan爆破  （wpscan --url http://dc-2/ -U user.txt -P passwd.txt）

 LOOK   得到password 两组

jerry / adipiscing                                                                       
tom / parturient  

拿去登录

ps：上面url有时候不会跳到http://dc-2/wp-admin/ 导致登录后空白  可以登录后输入url 进去

找到滴二个flag

和我们说WordPress找不到其他东西了

但是我们还有一个ssh7744端口没有用呢

使用tom用户连接 密码前面已经爆出（Jerry尝试几遍不可以)

 登录成功  看一下当前用户文件

 发现flag3  但是不能查看  被“rbash”限制  需要rbash提权

先看一下rbash限制后能进行那些操作

 然后我们要绕过rabsh     （BASH_CMDS[A]=/bin/sh;A）

/bin/bash(此时还不能查看flag3.txt)

 添加一个变量 tomexport PATH=$PATH:/bin/

得到flag3 

根据flag3提示切换jerry用户 su jerry

cd /home/jerry

ls

cat flag4.txt

得到flag4  BUT它在挑衅我们

flag4有提示用git提权  查看jerry用户可以用root用户的身份执行git命令且无需密码   

 强制进入交互模式 (sudo git -p help config)

 打开一个用户为root的shell  (!/bin/bash #末尾) 

 找的flag

 

小结：

A : 重定向

B: cewl使用

C: wpscan使用

D: dirb使用

E: rbash提权

E: git提权