DC-2靶机实操获flag

一：本次的靶机渗透是一个找寻DC-2靶机中的flag的过程，以最终的flag为目标。
二：使用工具：kali，DC-2靶机
三：涉及到的内容：nmap，netdiscover的用；编辑/etc/hosts文件，添加靶机IP地址及对应域名；nikto工具扫描网站结构，找到wp-login.php登录页面；wpscan工具扫描网站，获取可以登录网站的用户名；cewl生成密码字典；wpscan工具爆破可以登录用户的密码；hydra工具使用已生成的密码字典对已知的用户名进行ssh登录密码爆破，获得ssh登录用户；用 BASH_CMDS[a]=/bin/sh;a 直接绕过禁止的命令；git提权
四：实际操作
使用DC-2靶机的ova文件用kali打开后如下：
在自己的kali使用netdicover命令找到DC-2靶机的ip地址为：192.168.0.131（注意自己的kali和DC-2靶机都是设置桥接模式，二者处于同一网段）
nmap扫描靶机DC-2所有端口，发现80(http)、7744(ssh)端口开放
命令：nmap -sS -Pn -A -p- -n ip

浏览器访问http://192.168.0.131，发现无法正常访问页面，但在url地址栏会有http://dc-2域名提示，发现问题是本地无法解析域名dc-2,此时编辑/etc/hosts文件，添加靶机IP地址及对应域名：192.168.0.131 dc-2，编辑结束后用命令： :wq保存，之后即可访问
![在这里插入图片描述](https://img-blog.csdnimg.cn/20210205103624777.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NzA0MTY4NQ==,size_16,color_FFFFFF,t_70#pic_center）

在自己的虚拟机上建立一个dc2的文件夹，用于后续操作

flag1提示可以登录，但正常访问网页无法找到登录页面，所以使用nikto工具扫描网站结构，找到wp-login.php登录页面

访问登录页面：http://dc-2/wp-login.php

使用wpscan工具扫描网站，获取可以登录网站的用户名
命令：wpscan --url dc-2 -e u

将扫描到的三个用户名添加到dc-2users.list
命令：vim dc-2users.list

使用flag1中提示的工具cewl生成密码字典dc-2pass.dix
命令：cewl dc-2 -w dc-2.dic
cat dc-2pass.dic（首先得先建立一个pass.txt文件保存密码）

使用wpscan工具爆破可以登录用户的密码，可成功爆破tom和jerry用户


使用tom用户登录论坛，没找到有用信息

使用jerry用户登录论坛，可以找到flag2

Flag2提示从另外一个方向切入，所以80端口切入失败，这时用到另外一个7744(ssh)端口
使用hydra工具使用已生成的密码字典对已知的用户名进行ssh登录密码爆破，获得ssh登录用户：tom / parturient

使用tom用户ssh登录，命令：ssh tom@192.168.0.131 -p 7744

使用ls 命令在家目录中找到flag3.txt，但是不能通过cat flag直接获取，此时用 BASH_CMDS[a]=/bin/sh;a 直接绕过，可得到flag3.txt

切换到jerry用户，进入jerry家目录下，命令：su jerry; password为：adipiscing，同样的，使用ls命令获取目录内容，直接cat flag可得flag4.txt

发现有一关键词git，此时想到要获取最后的flag还需要进行git提权
命令：sudo git help config （这一步忘记截图了，就用别人的图吧）

提权后是root状态，此时用ls命令查看目录，发现了final-flag.txt文件，因为拥有root权限，可以直接cat flag可得最后的flag
总结：第一次做DC-2靶机，还是有挺多新的发现的，下次继续加油！