DC-2

DC-2下载:https://download.vulnhub.com/dc/DC-2.zip.torrent

攻击者kali   IP:192.168.1.9

受害者DC-2   IP:192.168.1.12

同样使用arp-scan -l列出局域网内的设备得到DC-2的ip地址

1 使用nmap 扫描DC-2

nmap -A 192.168.1.12

扫描到了一个80端口，能得到的是wordpress博客，只能访问一下看看,打不开，需要在本地的host文件添加

vim /etc/hosts

flag1

在博客中拿到第一个flag1,从中看到一个重要的信息，提示我们用cewl来获取密码

查了一下cewl发现是一个kali的工具

Cewl是一款采用Ruby开发的应用程序，你可以给它的爬虫指定URL地址和爬取深度，还可以添额外的外部链接，接下来Cewl会给你返回一个字典文件，你可以把字典用到类似John the Ripper这样的密码破解工具中。除此之外，Cewl还提供了命令行工具。

cewl使用   -w这里可以使用-w参数来将密码字典存储为text文件：

cewl http://dc-2/index.php/flag/ -w dc-2.txt

执行后在桌面生成了一个密码集，那么密码有了还差用户名

使用kali的wpscan来扫描一下用户名

wpscan -h可以查看各种参数以及定义

--enumerate 枚举 u  枚举用户名

wpscan –url http://dc2 –enumerate u

wpscan --url http://dc-2 --enumerate u

枚举出了三个用户名，使用touch 创建一个user.txt，然后放入进去

用cewl抓取的密码配合wpscan的账户进行爆破

wpscan --url http://dc-2 --enumerate -U user.txt -P dc-2.txt

爆破到了jerry和tom的密码

得到了账号密码但是没有能找到登录的地方

使用nikto来扫描一下登录，也可以使用御剑扫描一下

nikto -h http://dc-2/

访问wp-login.php进入到登录界面

flag2

使用两个账号都登录查看了一下，发现在Jerry账户下找到了flag2

找了个遍啥都没有了，从flag2提示中，让我们换一个切入点，难不成有ssh登录，再使用nmap扫描一遍

nmap -sS 192.168.1.12

扫描出来的结果竟然一样

加个参数再扫描一遍

nmap -sS 192.168.1.12 -p 1-65535

nmap -A -p- 192.168.1.12

扫描出来了7744端口是ssh连接的端口

尝试使用ssh连接试试

jerry和tom两个账号都尝试了，发现只有tom能登录进去，jerry的密码不对

flag3

ls查看一下发现有flag3

但是查看不了

那么使用一下linux的compgen -c命令查看一下当前可以使用的命令

发现有vi

直接用vi打开试试

打开后得到flag3的信息

看到信息里有提到tom和jerry两个账号，莫非需要切换到jerry账号下，但是使用sshjerry怎么都登不上

既然vi可以使用

使用vi a

:set shell=/bin/sh

shell

export -p

export PATH="/usr/sbin:/usr/bin:/rbin:/bin"

添加之后尝试登录jerry

登录成功

flag4

并且在目录下看到flag4

flag4提升我们还差一步，想必就是要提权了

输入sudo -l 提醒我们需要使用git来提权

git提权的方法

建议使用第二种方法

最后尝试修改root密码成功

final-flag

拿到最后一个flag

DC-2总结

nmap加强扫描得到端口

重定向

cewl工具的使用，得出密码字典

wpscan 枚举账户，账号密码的破解

nikto或御剑扫描网站的站点登录

compgen -c 查看服务器可使用的命令

rbash提权

git提权