Vulnhub dc-2靶机通关

下载地址：https : //download.vulnhub.com/dc/DC-2.zip

安装好dc-2虚拟机，使用该工具搜寻对应的ip

直接通过ip访问网站，会跳转到http://dc-2，由于本地dns没有解析该域名，需要添加

etc/hosts文件添加

Nmap扫描

通过插件看到该cms为wordpress版本号为4.7.10，此版本存在用户名爆破的漏洞

未授权获取发布过文章的其他用户的用户名、id

Flag1

在网站下方获取到第一个flag，提示我们需要通过爆破登录

通过cewl 构造字典

Cewl http://dc-2 -w wps.txt

Cewl：通过爬行网站获取关键信息创建一个密码字典

WPScan是一个扫描WordPress漏洞的黑盒子扫描器

枚举用户名

wpscan --url http://dc-2 --enumerate u 

通过wpscan扫描到了三个用户

通过wpscan爆破密码

wpscan --url http://dc-2 -e u --passwords wps.txt

Flag2

登录后台发现了第二个flag

提示：我们需要从另外一个点切入

Wordpress4.7.1版本漏洞只存在用户名密码爆破漏洞

只能找其他入口切入

通过全端口扫描到了7744端口，开放的是SSH

通过ssh远程登录tom的账号，密码为上边扫描的结果

Rbash逃逸

登录之后发现没有权限是一个Rbash，受限制了。

BASH_CMDS[a]=/bin/sh;a

$ export PATH=$PATH:/bin/

$ export PATH=$PATH:/usr/bin

https://blog.csdn.net/qq_38677814/article/details/80003851

Flag3

成功逃逸rbash，查看当前目录存在falg3

提示：可怜的老汤姆总是追随杰里。也许他应该承受自己造成的所有压力。

可能是让我们去jerry用户下

Flag4

寻找到啊jerry用户，当前目录下存在flag4.txt

提示：很高兴看到您已经做到了这一点-但您还没有回家。您仍然需要获得最终标志（唯一真正重要的标志！！！）。这里没有提示-您现在就一个人了。 :-)继续-git outta here !!!!

接下来就是需要提权到root用户了，给出的提示是git提权

Tom：Sorry, user tom may not run sudo on DC-2.

Git提权

Tom用户没有git权限，切换到jerry

sudo git help config

    !/bin/bash或者！'sh'完成提权

sudo git  -p help

    !/bin/bash

final-flag

进入root目录，查看flag4