DC-2靶机

DC-2

By：jesse

1.使用nmap作网段的主机发现，确定靶机地址是192.168.138.131

2.继续使用nmap对靶机做进一步探测，发现靶机开启了80和7744（SSH）端口，先从80端口打开局面


更改hosts文件后即可访问

windows:
在C:\Windows\System32\drivers\etc\hosts添加即可
192.168.136.131 dc-2
linux：
sudo vim /etc/hosts

发现是一个wordpress的cms，简单翻译一下flag1的内容就是。

你常用的单词列表可能不起作用，所以也许你只需要成为cewl。
密码越多越好，但有时你就是赢不了。
作为一个登录以查看下一个标志。
如果找不到，请以另一个身份登录。

这边提示我们使用cewl，简单理解一个这个工具就是爬取网站的信息作为字典。

3.接下来还有一件重要的事情就是去对网站进行扫描了，方法有很多，但是这个是wordpress有专用的扫描器wpscan
参数不做解释，查看帮助就行，这边我们使用

wpscan --url dc-2 -e u
列出站点的用户名、账号

发现了三个账号，admin、jerry、tom

4.如果对wordpress比较熟悉的应该知道后台登陆的地址，这边对目录进行一个扫描也可以发现


此时我们已经知道有三个账号了，然后之前的cewl又收集了密码字典 ，那么就尝试进行爆破，将admin，jerry，tom保存至user.txt(主要不要把三个用户写在同一行)

wpscan --url http://dc-2 -U user.txt -P dc2-password.txt

成功爆出两个密码

tom账号没看到什么可用信息，在jerry用户中发现了flag2

如果你不能利用WordPress并走捷径，还有另一种方法。
希望你能找到另一个切入点。
这句话是什么意思呢?,那我们就去爆破另一个开放的端口7744，我们刚刚爆破只是web后台的密码，并不是ssh的密码

5.使用九头蛇去爆破注意加上端口号

hydra -L user.txt -P dc2-password.txt 192.168.136.131 -s 7744 ssh -vV -f
漫长的等待，最好爆破出了tom的密码
[7744][ssh] host: 192.168.136.131   login: tom   password: parturient

去登陆注意加上端口号，成功连接

6.绕过rbash，这边发现了flag3，但是无法打开

什么是rbash？
受限shell是LinuxShell限制一些bash shell中的功能，并且是从名字上很清楚。 该限制很好地实现了命令以及脚本在受限shell中运行。 它为Linux中的bash shell提供了一个额外的安全层。
如何绕过rbash
BASH_CMDS [a]=/bin/sh;a #把 /bin/bash 给 a 变量
BASH_CMDS[a]=/bin/sh;a
/bin/bash
#添加环境变量
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin

可怜的老汤姆总是在追杰瑞。也许他应该为自己造成的压力负责。
这句话能解读出来什么呢，我们可以在/etc/passwd下看到jerry，并且是/bin/bash

7.登陆jerry，可是我们没有密码，只有刚刚那个web爆破出来的这边进行一个尝试

运气不错登陆成功，在home目录发现了flag4

Good to see that you've made it this far - but you're not home yet. 
You still need to get the final flag (the only flag that really counts!!!).
No hints here - you're on your own now.  :-)
Go on - git outta here!!!!

8.发现了git我们可以先查看一下git命令能不能用，发现git正好可以免密执行

9.git提权

可使用$sudo git help config 或者 $ sudo git -p help 在调用一下bin/bash

10.拿到最后一个flag