DC - 2靶机通关

在开始之前，需要将靶机的网络连接由桥接模式改为NAT模式，以保证我们的攻击机可以发现靶机。

老规矩，用nmap -sP 192.168.16.1/24扫网段内存活的主机（-sP 指的是ping 扫描，以发现对ping有响应的主机），当然你也可以用arp-scan -l扫描，需要注意的是，它利用的是ARP协议，所以只能扫本地网络中的主机，如果是实战中的渗透测试，可能用不了，因为目标并不都是在你的本地网中，当然一半人家找你做测试肯定是可以到他们公司，连上他们的网的，不要以私人非法的名义对别人家网站做测试！

扫描之后发现是192.168.16.136。再进一步扫描端口 nmap -A 192.168.16.136 -p 1-65535 后面的端口范围可自行指定。可以发现开了80和7744，其中7744是ssh服务，说明这个靶机还是有一定的防护的，改变了ssh的默认22/23端口号.

接着就访问一下80端口吧。注意这里直接访问可能是不行的，是本地地址解析的问题，在自己攻击机里的hosts文件里插入一行192.168.16.136 dc-2 即可

linux的路径在/etc文件夹下

然后就可以拿到第一个flag。

根据提示知道需要用cewl爬一下本网站，命令：cewl  http://dc-2/ -w pass.txt 就会根据本网站生成一个文件保存在pass.txt中。除此之外可以发现该网站用的CMS是wordpress，对此kali有一个自带的针对其的工具叫wpscan，使用wpscan --url http://dc-2 -e u命令

WPScan是Kali Linux默认自带的一款漏洞扫描工具，它采用Ruby编写，能够扫描WordPress网站中的多种安全漏洞，其中包括主题漏洞、插件漏洞和WordPress本身的漏洞。最新版本WPScan的数据库中包含超过18000种插件漏洞和2600种主题漏洞，并且支持最新版本的WordPress。值得注意的是，它不仅能够扫描类似robots.txt这样的敏感文件，而且还能够检测当前已启用的插件和其他功能。

结果如图，爆出了三个用户名。然后将这三个用户名放入uesrdic.txt中当作字典。

既然有了用户名和密码字典，自然是要进行暴破的，所以还需要找到登录页面。使用自动化脚本dirsearch.py（可自行搜索下载，或者用dirb http://dc-2/ kali自带的工具）进行目录扫描，发现登录页面

打开如下：

用wpscan就可以暴破，命令：wpscan --url http://dc-2/wp-login.php -U userdic.txt -P pass.txt（或者你用hydra，burpsuit）结果如下：就用第一个登陆下吧。

进去后随便点点，找到了flag2。

尝试登一下ssh，jerry账户登不上去，不知道是密码输错了还是该账户不是ssh登录账号，所以就接着使tom，成功登录：

ls发现有flag3，但是目前的身份权限非常低，vim,whoami等命令都用不了，但试了后发现vi可以用，于是拿到了第三个flag：

意思是和Jerry有关，看来需要转到Jerry账户

直接su jerry发现转不过去，所以需要做个绕过。用BASH_CMDS[a]=/bin/sh;a

接着输入/bin/bash

还需要设置环境变量 export PATH=$PATH:/bin/ 然后cat flag3.txt可以用了。再su jerry切换成功。但是当前还是再tom的用户路径下，所以要cd 到jerry的目录，然后发现第四个flag：

其实在上面我想进到Jerry文件夹时看到了root账户，估计最后一个flag在里面。所以现在要做的是提权。查找可以sudo的sudo -l

Jerry的git命令可以利用

输入sudo git -p help config 和!/bin/ 成功