文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

靶机概览

详情介绍请参考下载地址
任务目标：拿下5个flag
下载地址：https://www.vulnhub.com/entry/dc-2,311/
靶机界面：

信息收集

由于我这里采用了NAT，所以很容易确定目标机器，如果你的网络环境里有众多机器，并且系统版本与靶机相似，且不方便更换连接虚拟机的方式，你可以先查看一下DC2的MAC，这样做主机发现时可以通过MAC来过滤靶机。

nmap信息收集

1：使用nmap作网段的主机发现，确定靶机地址是192.168.40.137

2：继续使用nmap对靶机做进一步探测，发现靶机开启了80和7744（SSH）端口，先从80端口打开局面

3：访问网站，发现URL栏写的不是靶机的ip，而是http://dc-2/，而很明显，DNS美哟解析出来

4：回过头来注意到nmap扫描时有这样一个提示，基本可以确认需要手动配置hosts文件

5：配置hosts文件
（1）kali修改hosts

sudo vim /etc/hosts

（2）windows修改hosts

C:\Windows\System32\drivers\etc\hosts

6：再次访问网站

网站信息收集

Flag1

登录网站直接拿到Flag1，页面给出了一些线索

线索的大致意思如下

cewl是个啥，百度一下，是一款以爬虫模式在指定URL上收集单词的工具，可以将它收集到的单词纳入密码字典，以提高密码**工具的成功率

爬站

试了一下，发现kali集成了cewl，那就直接干，生成的字典有239行

目录扫描

目录扫描的工具很多，由于靶机的网站页面是wordpress，所以选择wpscan来扫目录
1：先更新一下wpscan

wpscan --update

2：简单扫描一下

wpscan --url dc-2

好想没什么有价值的信息

列出站点的用户名、账号

wpscan换一种用法，列出站点的用户名、账号

wpscan --url dc-2 -e u

发现了3个账户

渗透攻击

**后台

访问wordpress默认后台/wp-login.php，找到后台登录界面

**的话需要用户名字典，很明显，就是admin，jerry和tom那三个用户，密码字典则是刚拿下flag1爬站时生成的pwd.dic字典，工具这里选择使用wpscan了
命令：

wpscan --url dc-2 -U user.txt -P pwd.dic

爆出了两个账户

Username: jerry, Password: adipiscing
Username: tom, Password: parturient

访问网站

登录tom没发现有意思的信息，登录jerry发现了有趣的信息

Flag2

先来看一下flag，显示的是flag1的内容

再来看一下flag2

**ssh

使用如下命令，-s是指定端口，因为ssh端口被修改为7744

hydra -L user.txt -P pwd.dic ssh://192.168.40.137 -s 7744 -o hydra.ssh -vV

爆出了tom的密码

login: tom   password: parturient

登录ssh

注意，由于靶机的ssh不是22，所以需要指定端口

ssh aaa@qq.com -p 7744

发现了flag3，但是由于自己用的是rbash，所以无法使用cat命令，需要绕过rbash限制

绕过rbash拿flag3

绕过rbash

BASH_CMDS[a]=/bin/sh;a
/bin/bash

添加环境变量

export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin

拿到flag3，现在线索引向了jerry，并提示使用su，拿就是切换用户啊

拿下jerry拿下flag4

查看一下/etc/passwd确实看到了jerry，但是我们只有web下jerry的账户密码，而没有爆出靶机系统下jerry的账户密码，那只能拿web密码来蒙一下了。

使用jerry的web密码adipiscing成功登入jerry的账户，并直接拿下flag4。根据提示，还剩最后一个flag，看这意思是需要进到root家，flag5极大概率在root家里，最后暗示了一下git

提权

先查看一下自己能不能免密使用一些root级别的命令，恰好发现了git

git提权

输入如下命令，会强制进入交互状态

sudo git -p --help

再调用bash

!/bin/bash

现在就能以root身份执行命令了

flag5