DC2-靶机

下载地址

 我配置的环境：

kali：192.168.25.131              DC2 -靶机 和 kali 在同一C段

 

渗透

nmap扫描网段，发现存活主机

nmap -sP 192.168.25.0/24

发现主机 192.168.25.128，判定为DC2-靶机，继续使用nmap获取详细信息

nmap -A -p 1-65535 192.168.25.128

发现 http服务和 ssh端口开放，想到可以爆破SSH密码，我们先访问80端口，在浏览器输入ip 192.168.25.128，

得到下图效果，浏览器URL变为，说明靶机做了配置，输入ip自动跳转到 dc-2 域名

直接修改本地hosts文件，添加ip对应域名

win10路径： C:\Windows\System32\drivers\etc

linux路径： etc/hosts 

                   

再次访问，一个典型的Wordpress站点，页面发现Flag1:

无情的翻译机器：提示我们使用 cewl （爬虫抓取页面信息生成字段）来生成密码进行爆破。

在kali使用工具 cewl

cewl http://dc-2/ -w ~/桌面/passwd.txt

用户名我们可以使用kali已经集成的 wpscan ，然而如下，重新编译安装还是这个玩意，放弃

祭出我的大字典，用Burp爆破 （hydra也阔以），WordPress默认后台地址：/wp-admin  且WordPress当用户名不存在时会提示用户不存在，可增加爆破效率  

hydra -L user.txt  -P passwd.txt dc-2 http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'

                    

Payloads导入对应字典

attack,kali继承的burp是社区版，所以不能调整线程，慢的一匹，还是用hydra吧。。。

我们跑出了 jerry和tom账户，登进去看看

tom，没啥东西，jerry用户界面如下，发现了flag2

        

无情的翻译机器，看来是提示我们SSH登录了，其实我们也可以找找关于WordPress的插件，一般WordPress CMS漏洞被挖的差不多了，但是其丰富的插件还是经常爆各种漏洞的，也是一个思路。

try，我们使用jerry用户登录失败，tom成功登陆

查看文件，发现flag3,txt 执行命令发现 command not found，这是因为ssh远程连接到服务器的环境变量中不包含对应可执行文件的路径。需要自行添加

BASH_CMDS[a]=/bin/sh;a 
$ /bin/bash
bash: groups: command not found
tom@DC-2:~$  export PATH=$PATH:/bin/
tom@DC-2:~$  export PATH=$PATH:/usr/bin

参考链接：https://blog.csdn.net/wang_624/article/details/90556462

提示我们切换到Jerry，发现flag4.txt

嗯，作者说没有提示，依然提示 git，我们想到git提权，try， 发现git可以执行root权限，说明我们的思路是正确的

sudo git -p help
!/bin/sh

参考链接

拿到我们最后的flag.txt，还推了下作者自己的Twitter~

总体来说，和DC基本都是一样的套路，很简单，适合新手练手练习工具的使用，并掌握一些基础知识~