一、信息收集
查询本机ip及目标靶机ip
本机ip:192.168.56.104,利用nmap查询同网段存活的ip,或者使用arp-scan -l
![](https://i-blog.csdnimg.cn/blog_migrate/f86002bf7c85aa17b7c91d4ddedf8136.png)
靶机地址:192.168.56.111
2、收集靶机开放端口
输入nmap -sS -sV -T5 -A 192.168.56.111 搜索相应开放的端口及服务还有版本
![](https://i-blog.csdnimg.cn/blog_migrate/7aae3b41523795997a36b4342e855c15.png)
输入nmap -p- 192.168.56.111查询是否开放的其余端口
![](https://i-blog.csdnimg.cn/blog_migrate/74e97a1026eb43aa29f671dc3ab4c008.png)
从上可以看出开放了80端口及7744端口,80端口需要进行DNS绑定,打开/etc/hosts,将靶机地址及dc-2保存在其中
![](https://i-blog.csdnimg.cn/blog_migrate/3825c52cacc2c8764a0d39b4282b4264.png)
3、对应端口进行尝试
在浏览器访问后,发现flag1
![](https://i-blog.csdnimg.cn/blog_migrate/ea3377cc2328f5f02d8076f523203a30.png)
![](https://i-blog.csdnimg.cn/blog_migrate/6114f69b7a1763e3a2b553809dfcff24.png)
这里flag1提示需要用cewl工具,关于cewl工具之前的文章也有介绍,下面就直接用了
cewl http://dc-2/ -w xiaoli.txt
![](https://i-blog.csdnimg.cn/blog_migrate/1561840320e188caa8b03915ca2a3868.png)
留着作为爆破用户名密码的文本,现在有了密码本,不知道用户名,使用wpscan去枚举用户名
wpscan --url http://dc-2/ -e #后续会出一篇关于wpscan的工具使用说明
![](https://i-blog.csdnimg.cn/blog_migrate/5aca48415a1f104969850f9b1880ef38.png)
![](https://i-blog.csdnimg.cn/blog_migrate/f8a75f35879b21e162f8860568f2c42a.png)
发现了三个用户admin、jerry、tom,将这三个用户写进user.txt中,一会利用两个文件进行爆破密码
输入:wpscan --url http://dc-2/ -e -U user.txt -P xiaoli.txt
![](https://i-blog.csdnimg.cn/blog_migrate/fe805ca48a0c9e942367209d13717abc.png)
爆破出来jerry:adipiscing tom:parturient
二、Web渗透
利用爆破出来的用户名和密码进行登录,突然发现没有找到登录窗口,利用dirsearch进行目录爆破
dirsearch -u http://dc-2/
![](https://i-blog.csdnimg.cn/blog_migrate/51f3cedcb3f9db318b04ea127dd4e4f4.png)
发现了登录窗口和config文件
![](https://i-blog.csdnimg.cn/blog_migrate/f6a69bc7cc3a4eefd617e08f4e7c1f2b.png)
登录jerry的账户在page中发现了flag2
![](https://i-blog.csdnimg.cn/blog_migrate/d49e397913210bb6ec587941bab25af2.png)
![](https://i-blog.csdnimg.cn/blog_migrate/e09e98bbb991ed511dd945fef23ba97d.png)
这里说如果不能exploit 这个WordPress框架,可以用用别的方法,比如那会我们扫描出来的7744端口,可以利用我们爆破的用户进行远程ssh登录,本来ssh是22端口,被指定成了7744端口了,但没什么区别
![](https://i-blog.csdnimg.cn/blog_migrate/0a4cab7f9ee2645549ff5e3b91f0e451.png)
这边发现用jerry的账户登录时,许可被拒绝,利用tom的账户登录,发现登录成功
![](https://i-blog.csdnimg.cn/blog_migrate/b20ff3c78b511e9fd94537b09cc0bd40.png)
![](https://i-blog.csdnimg.cn/blog_migrate/f860b02275ee4930f22f0d477b48aa63.png)
这边发现flag3.txt但是cat不能使用,前面也是rbash,这里可以用vi,或者其他存在环境变量的命令,也或者可以重新设置环境变量进行rbash的绕过
BASH_CMDS[s]=/bin/bash
s
export PATH=$PATH:/bin
export PATH=$PATH:/usr/bin
![](https://i-blog.csdnimg.cn/blog_migrate/2ee64628afc7ce5c6168be0fcb7e0afd.png)
这里flag3提示要切换jerry用户,利用su jerry,输入jerry的密码,切换过来
![](https://i-blog.csdnimg.cn/blog_migrate/eaa11d3acbc27467dd669dc7988360d0.png)
发现flag4并查看,发现要想得到最终flag需要获得root权限,底下有提示使用git提权
![](https://i-blog.csdnimg.cn/blog_migrate/78dea1b75ddfa8c5510f3a98b3665aeb.png)
然后利用sudo和git,输入
sudo git -p --help config
!/bin/bash
即可提权成功
![](https://i-blog.csdnimg.cn/blog_migrate/4e3e7a44ca9dc6db823a1c9a8683b5b0.png)
本次的DC系列第二个靶机就这样结束了,后续DC系列的靶机渗透将会继续更新,还有其他的靶场也会相继更新!希望能给需要的同学带来帮助!
努力学习,每天进步一点点!